− 第2回 −

ウイルス／ワームの仕組みとその対策
ウイルスを知り、対策を知れば情報システム危うからず

　企業の情報セキュリティに対する脅威の中でも、もっとも厄介といえるのがコンピュータ・ウイルス／ワームです。システムをインターネットにつなぐ、業務に必要な情報をWebサイトからダウンロードする、メールを受信するといった日常業務に直結する行為で感染するケースは後を絶たず、その被害は全社へ一気に広がるケースも少なくありません。「敵情を知り、己を知れば、百戦危うからず」は中国の兵書「孫子」の言葉ですが、これはウイルス／ワーム対策にも当てはまります。今回はウイルス／ワームの敵情を探り、その対策の仕組みを紹介します。

添付ファイルやネットワーク経由など
感染経路が複雑化するウイルス／ワーム 　

　インターネットやブロードバンドが企業のインフラとして不可欠になる一方、ビジネス活動に多大な影響を及ぼすウイルス／ワームの脅威も増しています。ブロードバンドはユーザの快適なアクセス環境のみならず、ウイルス／ワームを撒き散らすクラッカーにも格好の環境となり、瞬時に被害が拡大するケースも少なくありません。

　ウイルスとワームはいずれも寄生虫のように増殖するプログラムです。ウイルスはファイルに不正なコードを書き加え、プログラムに寄生して感染を広げるのに対し、ワームはネットワークを介して細胞分裂のように自らをコピーしながら増殖します。ウイルスのタイプは、実行形式ファイル（拡張子が.exe、. comなど）に感染する「プログラム感染型」、ハードディスクのブートセクターなどシステム領域に感染する「ブート感染型」、電子メールなど特定のアプリケーションのファイルに感染する「ファイル感染型」（マクロウイルス）などがあります。

　近年は、ウイルス／ワームの手口も巧妙かつ進化し、感染経路も複雑化しています（図１参照）。従来のように電子メールの添付などを介して侵入するウイルスに加え、ネットワークを介して特定のOSやアプリケーション、クライアントPCのバグを突くワームも増えています。例えば、Webサーバのバグを突いて Webページを改ざんする「CodeRed」（発見時期2001年7月）、特定のWebブラウザのバグを突き、不正なプログラムコードが仕組まれたWeb ページを表示したり、電子メールを開いただけでPCの感染が拡大した「Nimda」（2001年9月）などがよく知られています。また、データベースサーバのバグを突いた「Slammer」（2003年1月）、インターネットや社内ネットワークを介してプログラムの誤動作や不正プログラムを実行し、短期間に大量のクライアントPCが感染した「Blaster」（2003年8月）などはまだ記憶に新しいところです。

　CodeRedやSlammerなどのワームは主にサーバをターゲットとしていました。システム管理者はサーバを防御すれば感染被害の拡大を阻止できたともいえますが、BlasterのようにPCをネットワーク接続しただけで感染するワームの出現で、ウイルス／ワーム対策の概念が大きく変わりました。

　ウイルス／ワームに感染したPCは他の脆弱なPCを攻撃し、PCの動作を不安定にしたり、ネットワークの過負荷によるシステムダウンを招くだけでなく、メールアドレスを参照してデータを外部に送信するウイルス／ワームも出現するなど、機密情報を流失するリスクも高まっています。さらに、ウイルス／ワームに感染した企業は被害者になるだけでなく、意図せずに加害者になるリスクもあり、万全のセキュリティ対策が従来に増して重要になっているのです。

図1：感染経路が複雑化するウイルス／ワーム
電子メールの添付ファイル、Webページの閲覧、あるいは感染した持ち込みPCによる被害の拡大など、
ウイルス自体も進化しており感染経路は巧妙かつ複雑化している。