PR

 「コンピュータ・ウイルス」と聞くと,パソコンに侵入して,悪さをするプログラムといった漠然としたイメージを持っている人が多いのではないだろうか。

 一方,「ワーム」,「トロイの木馬」という用語も,最近では一般的になってきた。まずは,こうした用語の意味を確認することから始めよう。

コンピュータ・ウイルスの「起源」

 コンピュータ・ウイルスという用語の起源は,1984年9月にフレデリック・コーヘン博士(当時は米カリフォルニア大学の大学院生)が,米国セキュリティ学会で発表した論文だ。この論文では「ほかのプログラムに自分自身のコピーを含ませるために,感染先プログラムを修正して伝染できるプログラム」と,コンピュータ・ウイルスを定義した。これが,ウイルスの元々の意味である。

 一方,テレビや雑誌の報道では,不正プログラム全般をウイルスと呼ぶことが多い。しかし,ウイルスにかかわる専門家の間では,今でもコーヘン博士の定義が尊重されている。そこで,このPart1では,ほかのプログラムに寄生するプログラムをウイルスとし,世間一般で語られるウイルスのことを,「不正プログラム」と呼ぶことにする。そして,狭い意味でのウイルスだけでなく,不正プログラムの生態を探っていこう。

自己増殖するワーム

図1 ウイルス,ワーム,トロイの木馬とは
 不正プログラムの挙動を基に分類すると,本来の意味でのウイルスのほか,ワーム,トロイの木馬の三つに分かれる(図1[拡大表示])。

 ワームとは,ネットワークを介して自己増殖する機能を持ったプログラムである。例えば,メール・ソフトなどを勝手に利用して,自分自身を添付した電子メールをほかのパソコンに送りつけたりする。代表的なものとしては,99年初めに出現して,日本でも多くの被害が出たHappy99(ハッピーキュウジュウキュウ:Happy99. Worm)がある。

 最近,「ウイルスの被害が急増しているのは電子メールが普及したことだ」と言われているが,これは半分しか正しくない。厳密にいうと,「電子メールの普及と,それを利用して増殖するワームが増えたのが原因である」と言える。

正規ソフトを装うトロイの木馬

 トロイの木馬は,ゲームやユーティリティなどの正規プログラムを装った不正プログラムのことだ。本来の狭い意味のウイルスとは,まったく性質の異なる存在である。トロイの木馬は,単独で動作する不正プログラムであり,ウイルスのようにほかのプログラムに感染することはない。

 なお,不正プログラムによっては,三つの分類にまたがるものが存在する。例えば,「ワームの機能を兼ね備えたウイルス」などである。

図2 ウイルスの生態を四つのフェーズに分けて考えよう
ただし,ウイルスによってはいずれかのフェーズがなかったり,複数のフェーズが同時に進行したりする。

4段階に分けて生態観察

 ようやく,ウイルス(不正プログラム)の正体を暴く準備が整った。では正体を知るために,不正プログラムの行動パターン(生態)を追いかけていくことにしよう。

 典型的な行動パターンは,(1)感染,(2)潜伏,(3)増殖,(4)発病の四つのフェーズに分けられる(図2[拡大表示])。

 (1)の感染は,ウイルスがほかのプログラムに自分自身をコピーして増えていくことである。

 (2)の潜伏は,ウイルスなどの不正プログラムが,ユーザーやウイルス対策ソフトの監視から逃れるために,自分自身の姿を隠す行為である。

 (3)の増殖は,不正プログラムがコンピュータから別のコンピュータへと次々に増えていく状態である。

 (4)の発病は,不正プログラムが行うさまざまな悪さである。

 では,この四つのフェーズの詳細を順に見ていこう。