マルウェア

沿革

人々がマルウェアを書き始めたのは、1970年代から1980年代初頭のことでした。当時のコンピュータはとてもシンプルでした。そのため、マルウェアにとって興味深い情報はありませんでした。その代わりに、人々は楽しみのために、あるいは自分ができることを示すためにマルウェアを書いたのです。この時代の最も一般的なマルウェアであっても、人々のコンピュータにダメージを与えることはありませんでした。実際、1990年になって初めて「マルウェア」という言葉が生まれたほど、マルウェアは珍しかったのです。

1990年代後半から2000年代前半にかけて、より多くの人がコンピュータを使うようになりました。コンピュータは、同じ速さでより複雑になっていきました。人々は、マルウェアを使えば、パスワードやクレジットカード情報などの有用な情報を入手できると考えました。そこで、より多くのプログラマーがマルウェアを作成するようになりました。インターネット上のマルウェア・プログラムの数は、1990年代後半から急速に増加し、現在も増え続けています。専門家によると、世界のコンピュータの31.5％に何らかのマルウェアがインストールされているという。

目的

人々がマルウェアを作成する主な理由は、重要な情報を盗んだり削除したりすることで、他人を傷つけ、金儲けをすることにあります。例えば、コンピュータ・ウイルスのCryptolockerは、マルウェア作者にソフトウェア・キーを支払ってロックを解除してもらわないと、自分のコンピュータを使用できないようにします。また、CIHというウイルスは、被害者が二度と自分のファイルを使えなくしたり、コンピュータの電源を入れられなくしたりします。悪意のあるキーストローク・ログ・ソフトウェアは、ユーザーが入力したすべての内容を記憶し、それをマルウェア作者に渡して読ませます。

世界の政府は、敵を痛めつけるためにマルウェアを書いたことがあります。専門家は、アメリカ政府がイランの重要な場所の機能を停止させるためにスタックスネットというウイルスを作ったと考えています。中国政府は、政府の決定に抗議する人々を阻止するためにウイルスを使ったのでしょう。

マルウェアがインストールされる仕組み

マルウェアが人のコンピュータに侵入する方法は数多くあります。一般的な方法の1つは、電子メールの添付ファイルです。これらの添付ファイルは、通常、すでにマルウェアがインストールされている他のコンピュータから送られてきます。誰かがその添付ファイルをダウンロードして開くと、ウイルスがインストールされ、その人のコンピュータを使ってさらに多くの人に自分自身を送りつけます。

また、マルウェアのインストール方法としては、マルウェアが隠されているWebサイトにアクセスしただけで、被害者がマルウェアを入手してしまうケースがあります。これをドライブバイダウンロードと呼びます。ドライブ・バイ・ダウンロードでは、ユーザーが何かをクリックしなくてもコンピュータが感染してしまいます。このようなマルウェアの攻撃は、通常、あまり利用されていないウェブサイトや、セキュリティ方法が非常に古いウェブサイトで見られます。しかし、いつも利用しているWebサイトでも、ハッキングされるとドライブバイダウンロードが行われることがあります。

また、マルウェアを作成する人は、人々が欲しがっている本物のプログラムにマルウェアを添付して、自分のプログラムをコンピュータに入れます。これは、海賊版のプログラムによく見られます。これは、ダウンロードした人が違法なことをしていて、自分自身がトラブルに巻き込まれることなく当局に訴えることができないためです。しかし、非海賊版のウェブサイトの中には、バンドルと呼ばれるプロセスで、本物の合法的なソフトウェアと一緒にマルウェア（またはマルウェアとほぼ同程度の悪質な不要プログラム）をダウンロードに入れるものもあります。コンピュータセキュリティの専門家は、本物のソフトウェアにマルウェアをバンドルしているウェブサイトに不満を抱いています。しかし、そのような苦情があったとしても、ウェブサイトがバンドルを止めるとは限りません。

マルウェアの種類

マルウェアにはさまざまな種類があります。それぞれが異なる方法で動作します。

• ウイルスは、ユーザーが実行するプログラムを必要とするマルウェアの一種です。ホストとなるプログラムがなければ、自分自身をコピーしたり、あるコンピュータから別のコンピュータに移動したりすることはできません。ウイルスは、海賊版プログラムによく見られます。ウイルスは、ファイルを削除したり、パスワードを盗んだりするなど、さまざまな方法でコンピュータに害を及ぼします。

• ワームはウイルスに似ていて、同じような被害をもたらします。しかし、ワームはインターネット上を移動し、ホストプログラムの助けを借りずに自分自身をコンピュータにコピーすることができます。そのため、ワームはウイルスよりも危険です。ワームは通常、電子メールやドライブバイダウンロードに含まれています。

• トロイの木馬は、被害者を説得してインストールさせるために、通常の良性のプログラムやユーティリティーを装う有害なソフトウェアの一種です。トロイの木馬は通常、アプリケーションの起動時に起動する破壊的な機能を隠し持っています。トロイの木馬が動作するには、ユーザーがプログラムの実行に同意する必要があり、自分自身をコンピュータから別のコンピュータにコピーすることはできません。しかし、トロイの木馬は、通常のウイルスが起こす問題と同じ問題を起こす可能性があります。トロイの木馬は、マルウェア作者が被害者のコンピュータを制御したり、さらにマルウェアをインストールしたり、銀行のデータを盗んだりすることも可能です。例えば、ランサムウェアはトロイの木馬の一種で、マルウェアを書いた人にお金を払うまで、被害者がファイルを使えないようにするものです。専門家は、トロイの木馬は現存するマルウェアの中で最も一般的なタイプだと考えています。

• アドウェアとは、プログラム作者が広告で収益を得るタイプのマルウェアのことです。これらのプログラムは、ユーザーに広告を表示し、マルウェア作者が儲かるようなウェブサイトを利用させます。また、アドウェアは被害者の個人情報（年齢、人種、仕事など）を見つけ出します。これは、マルウェア作者がその情報を他の人に売るためです。ユーザーは通常、マルウェアよりも簡単にアドウェアをアンインストールすることができます。しかし、特別に設計されたプログラムなしにアンインストールすることは困難です。

• スパイウェアは、ユーザーからより多くの情報を盗み出す、より危険な種類のアドウェアです。スパイウェアは、ユーザーのインターネットトラフィックやアカウントのパスワード、コンピューターに入力したあらゆる情報を盗み出すことができます。また、スパイウェアは、アドウェアに比べてアンインストールが非常に困難です。

コンピューターにマルウェアが入る理由

ユーザーが意図しないプログラムをコンピュータにインストールしてしまう理由はいくつかあります。一般的な理由の1つは、ソフトウェアのバグを持つ通常のプログラムが原因です。マルウェアは、バッファオーバーフローなどのバグを利用して、プログラムに本来の目的ではない動作をさせることができます。また、マルウェアは、ユーザーを騙して自分でコンピュータに入れることもできます。これは、すでにウイルスが仕込まれているUSBフラッシュドライブをユーザーが差し込んだ場合に起こります。また、マルウェアは、ソーシャルエンジニアリングを利用して、ユーザーに実行させるのが一般的です。例えば、仕事で使う重要なメールの添付ファイルを装うこともあります。マルウェアの中には、アンチマルウェア・プログラムを装って実行させるものもあります。

マルウェアが止まる仕組み

マルウェアは非常に大きな問題であるため、多くの企業がそれを阻止するためのプログラムを作っています。これらのマルウェア対策プログラムには、マルウェアを発見するためのさまざまな方法があります。1つは静的解析で、実行前のプログラムのソースコードを調べます。そして、そのプログラムが、静的解析プログラムが以前に見たことのあるマルウェアと類似している場合、マルウェア対策プログラムはそのコードの実行を停止します。マルウェアを発見するもう一つの方法は、動的解析です。動的解析は、チェックするプログラムの一部だけを実行します。プログラムのこの部分が、悪いことや有害なことをしようとすると、マルウェア対策プログラムはそのプログラムを実行させません。

マルウェアは、プログラムを使わずに止めることもできます。これは、エアギャップの形成と呼ばれる、コンピュータをインターネットや他のコンピュータに接続させないことで可能になります。しかし、これらのコンピューターは、誰かが別の方法でマルウェアを入れてしまうと、マルウェアに感染する可能性があります。例えば、ウイルスに感染したコンピューターに接続されていたユニバーサル・シリアル・バス（USB）ドライブを誰かが差し込んだ場合です。