先日からコンピュータウイルス(マルウェア)についての知識と題して記しております。
今回はワーム編です。厳密に言えばマルウェアの中にウイルスという項目が含まれておりますが、前回同様マルウェアの種類も「ウイルス」という表現で一部表現していきます。1.ワーム(マルウェア)とは何?
ワームとは1つの独立したプログラムで、自分で自分の複製を作っていき、他のデバイスに感染して自己増殖するマルウェアです。また、他のウイルスはプログラムに寄生しましが、このワームは単独でプログラムが存在します。
ワームはマルウェアでも初期のマルウェアとなりますが、今でも危険度が大きく注意が必要なマルウェアとなります。
その自己増殖を行うことからつまり、虫の「ワーム」みたいだということで、この種のマルウェアを「ワーム」と呼ぶようになりました。
このワームマルウェアですが、初期的なマルウェアでありながら、非常に危険なマルウェアとなります。
何が危険かというと...ともかく増殖するからです。
ネットワークに端末がつながっている場合、そのネットワークにつながっている端末すべてに増殖を試みます。また、ネットワーク以外でもさまざまな方法で増殖します。
(感染経路については後にくわしく説明します。)
このワームの駆除はとても厄介で、一度ネットワーク上に感染した場合、すべての端末をネットワーク上から遮断(物理的にネットワークから外して)をして駆除を行わなければなりません。また、ウイルスが1つでも残っていればまたそこから繁殖します。つまり、1個たりとも残してはいけない存在なのです。このことからワームマルウェアは今でも脅威のマルウェアの1つとなっています。
2.ワームはどんな活動を行う?
ワームマルウェアは時代とともに変化しつづけ、多種多様となってきました。
昔は破壊活動が中心でしたが、現在は情報を盗んだりするものもあります。
現在のワームの活動内容は次の通りです。
A.コンピュータを壊す
ワームが増殖を行うために感染したコンピュータから他のコンピュータに猛アタックを行います。見猛アタックをされたコンピュータはコンピュータのプロセスを占有してしまい、システムが不安定となります。またパソコンのパワーとネットワークの帯域を占有してしまい、使えない状態にさせてしまいます。コンピュータが止まるだけだとまだ良いのですが、システム不安定などにより、内部のハードディスクなどにも負荷をかけ、ハードディスクを壊してしまう場合もあります。
B.勝手に拡散
ワームに感染すると、勝手にコンピュータの中にあるアドレス帳を探し出して大量にメールを送信したり、またFacebookなどSNSへの大量書き込みの投稿を行うものもあります。
このとき、ネットワークの帯域を占有してしまいますので、通信環境が著しく低下します。
C.個人情報を盗む
後に説明する「トロイの木馬」と組み合わせて、オンラインバンキングなどのログイン情報や、ネットサービスのID、パスワード、オンラインゲームのユーザー名、パスワードを盗みます。
特に多いのは「キーローガー」と呼ばれるPCのキーボード入力とマウス操作を記録するソフトを使い、ユーザーが入力した情報を外部に送信させるというものです。
D.バックドアを開く
侵入したワームがポートのバックドアを開けて、そこから更なるマルウェアを感染させるというものです。これを使い、遠隔操作を行うために必要なソフトウェアをダウンロードさせることもできます。
この手法を使った事件が日本でもあり、大きな事件となりました。
E.仮想通貨の採掘(マイニング)を行う
最近は仮想通貨の採掘(マイニング)を行うというものです。通常マイニングを行う場合、コンピュータは強力なパワーを必要とします。そのため、通常パソコンではほとんど稼ぐことができません。
そこで、そのマイニングをワームを使い、分散させて処理を行いマイニングを行うというものです。
F.プリンターを乗っ取る
ワームにはプリンターを乗っ取るものもあります。乗っ取られたプリンターは文字化けをした紙を大量に印刷してしまいます。
3.どこから感染?
ワームマルウェアはどこからでも感染するといったほうが良いでしょう。特に代表的な4つの感染ルートがあります。
A.ネットワークを介しての感染
ネットワークにつながっているだけで感染していき、猛スピードで増殖していきます。
ワームがコンピュータに感染すると、ワームはランダムにIPアドレスを作り感染先を探し、アタックを行います。アタックが成功すると、その端末に増殖を行い、増殖したワームは再び同じ動作を行い感染を広げます。
ワームがコンピュータに感染すると、ワームはランダムにIPアドレスを作り感染先を探し、アタックを行います。アタックが成功すると、その端末に増殖を行い、増殖したワームは再び同じ動作を行い感染を広げます。
B.共有フォルダから感染
Aと同じ方法でネットワークの共有フォルダを見つけ、そこに自分のコピーをおき、そこから他のネットワークフォルダへ増殖を試みる方法です。
C.USBメモリーやフロッピーなどの外部ドライブから感染
この方法は昔から存在していました。昔ネットワークがなかった時代、ワームの感染経路のほぼすべてがこの外部ドライブから感染しています。フロッピーやUSBなどのブート領域にひそんでおり、そこから感染をするものや、中にはWindowsのAutorun機能を使って差し込むだけで感染するものもあります。
D.メールからの感染
メールなどの添付ファイルから感染させるというものです。このワームに感染すると、さらにワームはコンピュータ内のアドレス帳を探し出し、そのメールアドレスにワームを添付して大量にメール送信させます。
この手法を使った大きな事故が韓国であり、このときは韓国全土の金融機関や役所関係がパソコンが起動しなくなったといった事件がありました。
E.インターネット上から感染
最近多いのがインターネット上のリンク先などからの感染です。サイトが、サイバー攻撃により書き換えられていたり、広告詐欺のリンクを貼っていたり、掲示板やSNSに貼られたURLの中にウェアページにジャンプさせるリンクを貼っていたりします。
4.新たなターゲット?
ワームマルウェアはパソコンなどを介して増えてきていましたが、最近新しいデバイスがターゲットとなっています。IoT機器です。IoT機器はパソコンと違い、セキュリティは現在もあまり整備されておらず、ワームにとっては格好のターゲットとなっています。そのため、パソコンは大丈夫と思っていても周りのIoT機器が感染していることがありますので気を付けてください。
次は「トロイの木馬」についての説明になります。
コメント