マルウェア

マルウェア (malware) とは、不正ふせいかつ有害ゆうがいに動作どうささせる意図いとで作成さくせいされた悪意あくいのあるソフトウェアや悪質あくしつなコードの総称そうしょう。コンピュータウイルスやワーム、トロイの木馬もくばなどが含ふくまれる。

悪意あくいのコード (malicious code) ^[1]、悪意あくいのソフトウェア (malicious software) ^[1]、悪意あくいのある不正ふせいソフトウェア^[2]、有害ゆうがいなソフトウェア^[3]^[4]、不正ふせいプログラム^[2]とも呼よばれる。

マルウェアの行おこなう活動かつどうとしてはデータの破壊はかいやデータの盗難とうなんなどがあるが、こうした「悪意あくいのある」行動こうどうをするソフトのみならず、ユーザの望のぞまない広告こうこくを勝手かってに出だすアドウェアのような「迷惑めいわくソフト」(の中なかで悪質あくしつなもの^[5])もマルウェアの範疇はんちゅうに含ふくめる場合ばあいがある^[6]。

マルウェア (malware) は、「悪意あくいのある」という意味いみの英語えいご「malicious（マリシャス）」と「software」を組くみ合あわせて創つくられた混合こんごう語ごである^[7]。

類義語るいぎごとしてクライムウェアがあり、これはマルウェアの中なかで特とくに犯罪はんざい (crime) に使つかわれるものを指さすとするものもあるが^[8]、必かならずしもこれを要件ようけんとしないものもあり^[9]、マルウェアとの関係かんけいは判然はんぜんとしない。

種類しゅるい[編集へんしゅう]

マルウェアの種類しゅるいの代表だいひょう例れいとして以下いかのものがあげられる。なお、以下いかの種類しゅるいは排他はいた的てきではなく、複数ふくすうの種類しゅるいの定義ていぎを満みたすマルウェアも存在そんざいしうる^[10]。

広義こうぎのコンピュータウイルスあるいは単たんに広義こうぎのウイルス: 文脈ぶんみゃくによって定義ていぎが様々さまざまであるが、「コンピュータウイルス対策たいさく基準きじゅん」では、自己じこ伝染でんせん機能きのう、潜伏せんぷく機能きのう、発病はつびょう機能きのうのいずれかをもつ加害かがいプログラムの事ことをウイルスの定義ていぎとして採用さいようしている^[11]。後述こうじゅつするワームやトロイの木馬もくばは狭義きょうぎのウイルスではないが、この意味いみでの広義こうぎのウイルスには属ぞくする^[11]。最さい広義こうぎでは「ウイルス」(virus) という語かたりはマルウェアと同義どうぎであり^[12]^[13]、マスメディアなどではこの最さい広義こうぎの意味いみに用もちいられるが、これは誤用ごようであるとされることもある^[12]。
狭義きょうぎのコンピュータウイルスあるいは単たんに狭義きょうぎのウイルス: 詳細しょうさいは「コンピュータウイルス」を参照さんしょう; 他たのプログラムやファイルの一部いちぶを書かき換かえ（寄生きせい、感染かんせん）、自己じこ複製ふくせいする機能きのうを持もつマルウェアのことである^[10]^[14]^[11]。感染かんせん対象たいしょうのプログラムの事ことをウイルスの宿主しゅくしゅもしくはホストプログラム^[14]という。感染かんせん経路けいろを秘匿ひとくするなどの目的もくてきで、プログラムなどに感染かんせんしたあと一時いちじ的てきに潜伏せんぷくし、その後ごしばらく経たってから活動かつどうを開始かいし（発病はつびょう）するものも多おおい^[11]。
ワーム: 詳細しょうさいは「ワーム (コンピュータ)」を参照さんしょう; ウイルス同様どうよう自己じこ増殖ぞうしょくするが、ホストプログラムを持もたず、単体たんたいで存在そんざいするプログラムの事ことを指さす^[10]^[14]。
バックドア型がた: 詳細しょうさいは「バックドア」を参照さんしょう; 外部がいぶからコンピュータを操あやつるために作つくられたコンピュータへの不正ふせいな侵入しんにゅう経路けいろの事ことでRAT (Remote Administration Tool) とも呼よばれる^[15]。バックドアをしかけるマルウェアをバックドア型がたと呼よぶ^[15]^[16]。
トロイの木馬もくば: 詳細しょうさいは「トロイの木馬もくば (ソフトウェア)」を参照さんしょう; 一見いっけん無害むがいなファイルやプログラムに偽装ぎそうした上うえでコンピュータに侵入しんにゅうしたあと悪意あくいのある振ふる舞まいをするものを指さすことが多おおいが^[10]^[14]^[17]、偽装ぎそうを行おこなわずにOS等とうの脆弱ぜいじゃく性せいを悪用あくようして勝手かってにインストールされてしまうもの(ドライブバイダウンロード)もトロイの木馬もくばに含ふくめる場合ばあいがある^[18]。狭義きょうぎのウイルスと違ちがい自己じこ増殖ぞうしょく機能きのうは持もたない^[10]^[18]^[15]。またトロイの木馬もくばの定義ていぎとして単体たんたいで存在そんざいし宿主しゅくしゅを必要ひつようとしないことを要件ようけんに加くわえるものもあるが^[18]、これを要件ようけんとしない場合ばあいもある^[14]。; トロイの木馬もくばの定義ていぎとして、コンピューター内部ないぶに侵入しんにゅうしたあと攻撃こうげき者しゃによる外部がいぶからの命令めいれいで悪意あくいのある振ふる舞まいをする^[10]^[14]^[18]事ことやバックドア型がたである事こと^[18]を要件ようけんにする場合ばあいもある。
スパイウェア: 情報じょうほう収集しゅうしゅうを主おもな目的もくてきとし^[10]、コンピュータの内部ないぶ情報じょうほうを外部がいぶに勝手かってに送信そうしんする^[19]ソフトウェアで、ユーザーが気きづかないうちにパソコンにインストールしているパターンが多おおい^[10]。; IPAとJNSAの定義ていぎによればスパイウェアとは「利用りよう者しゃや管理かんり者しゃの意図いとに反はんしてインストールされ、利用りよう者しゃの個人こじん情報じょうほうやアクセス履歴りれきなどの情報じょうほうを収集しゅうしゅうするプログラム等とう」のことである^[20]^[21]。; スパイウェアはマルウェアの一種いっしゅとみなすことが多おおいが^[19]^[22]^[7]^[23]^[24]、シマンテックはスパイウェアをマルウェアに含ふくめていない^[10]（クライムウェアには含ふくめている^[25]）。
キーロガーもしくはキーストロークロガー^[14]: キーボードからの入力にゅうりょくを記録きろくするプログラムのこと^[26]で、キーロガーというものそれ自体じたいはマルウェアではなく、コンピュータの所有しょゆう者しゃ自身じしんがデバッグのためにしかけるなどの使つかい方かたもあるが^[26]、パスワードや個人こじん情報じょうほうなどを奪取だっしゅするため悪意あくいを持もってしかけられるなどマルウェア^[26]^[14]（スパイウェア^[19]）として用もちいられることもある。同様どうようにネットワークを通とおるパケットを監視かんしするスニッファも盗聴とうちょう目的もくてきで使つかわれる場合ばあいがある。
ボット: ボット自体じたいは常駐じょうちゅうしてチャットで会話かいわするなどといった機能きのうを持もつ任意にんいのプログラムを指さすもので、必かならずしもマルウェアを指さすものではない。マルウェアとしては、ボットネットと呼よばれる仕組しくみにより、IRCなどを利用りようして攻撃こうげき者しゃから命令めいれいを受うけ取とり、命令めいれいに応おうじてDDoS攻撃こうげきやスパムメール送信そうしんなどを行おこなうマルウェア^[27]を指さす。ボットに感染かんせんしたコンピュータによって構成こうせいされたネットワークをボットネットもしくはゾンビクラスタという^[27]。それに対たいしボットネットに指令しれいを出だすサーバをC&Cサーバ (Command and Control server) という^[28]。またボットなどの感染かんせんにより攻撃こうげき者しゃによる遠隔えんかく操作そうさが可能かのうなコンピュータをゾンビマシンという^[29]。
ルートキット: 攻撃こうげき者しゃが被害ひがい者しゃのコンピュータに侵入しんにゅうしたあとに用もちいるツールを集あつめたパッケージ^[30]で、マルウェアとして被害ひがい者しゃのコンピュータにしかける^[31]。侵入しんにゅうの発覚はっかくを防ふせぐログ改かいざんツール^[30]、バックドアをしかけるツール^[30]、キーロガー^[30]、パスワードやクレジットカード情報じょうほう等とうの窃盗せっとうツール^[31]、DDoS攻撃こうげき用ようのボット化かツール^[31]、セキュリティソフトの無効むこう化かツール^[31]などが含ふくまれていることがある。こうした攻撃こうげきを容易よういにするため、システムバイナリを含ふくめたファイルを数すう百ひゃく個こ単位たんいで改竄かいざんする^[14]。ルート権限けんげんを奪うばうなど管理かんり者しゃレベルのアクセス権けんを取得しゅとくする事ことを定義ていぎとする場合ばあいもある^[32]。又また、基本きほん的てきにルートキットは隠蔽いんぺいされているので、普通ふつうのセキュリティソフトでは見みつけられなく、専用せんようのセキュリティソフトでないと見みつける事ことが困難こんなんとされる。
ランサムウェア (ransomware): コンピュータをロックしたり重要じゅうようなファイルを暗号あんごう化かして読よめなくするなどして被害ひがい者しゃを困こまらせ，身代金みのしろきん (ransom) を払はらえば元もとに戻もどすと脅迫きょうはくするマルウェア^[33]。
スケアウェア (scareware): ユーザの恐怖きょうふ (scare) 心しんを煽あおる偽にせの警告けいこくメッセージ（「PCから違法いほうポルノやウイルスが検出けんしゅつされた」等とう）を表示ひょうじし、問題もんだいを解決かいけつするには所定しょていの金額きんがくを支払しはらうようにと脅おどすマルウェア^[34]^[35]。
ダウンローダー: サイズの小ちいさなマルウェアで、攻撃こうげき者しゃのサーバから被害ひがい者しゃのコンピュータに実行じっこうファイルなどをダウンロードする^[15]などさらなる攻撃こうげきの足あしがかりにする。; ドロッパー(Dropper); 本体ほんたい内部ないぶに不正ふせいなプログラムが格納かくのうされており、実行じっこう時じに実行じっこう可能かのうファイルに展開てんかいする。暗号あんごう化かや難読なんどく化か、パッキングなどが施ほどこされているため、簡単かんたんには不正ふせいプログラムとして認識にんしきされないようになっている。
アドウェア (Adware): ユーザの望のぞまない広告こうこくを勝手かってに出だすソフトウェアである。アドウェア又またはその中なかの悪質あくしつなものもマルウェアの範疇はんちゅうに含ふくめる場合ばあいがある^[5]^[6]。

ワイパー: 詳細しょうさいは「ワイパー (マルウェア)」を参照さんしょう; ハードディスクドライブ内うちのデータを完全かんぜん消去しょうきょすることを目的もくてきとしたもの。

セキュリティ技術ぎじゅつに対たいする回避かいひ技術ぎじゅつ[編集へんしゅう]

不正ふせい行為こういを実行じっこうするために、攻撃こうげき者しゃはマルウェアを作成さくせいするが、その不正ふせいな試こころみが検出けんしゅつされてしまっては、その目的もくてきを達成たっせいすることはできない。セキュリティベンダがセキュリティ技術ぎじゅつを進化しんかさせると、それに合あわせて攻撃こうげき者しゃも技術ぎじゅつを進化しんかさせる。セキュリティベンダと攻撃こうげき者しゃの間あいだでは、いたちごっこが繰くり返かえされている。回避かいひ技術ぎじゅつは、検出けんしゅつ、分析ぶんせき、把握はあくを回避かいひするためにマルウェアが使用しようする手段しゅだんの総称そうしょうである^[36]。

セキュリティ技術ぎじゅつに対たいする回避かいひ技術ぎじゅつは次つぎの3つに分類ぶんるいできる^[36]。

セキュリティ対策たいさくの回避かいひ: マルウェア対策たいさくエンジン、ファイアウォール、アプリケーション隔離かくりなどの保護ほごツールによる検出けんしゅつを回避かいひするために使用しようされる^[36]。
サンドボックスの回避かいひ: 自動じどう分析ぶんせきを検出けんしゅつし、マルウェアの挙動きょどうを報告ほうこくするエンジンを回避かいひするために使用しようされる。仮想かそう環境かんきょうに関連かんれんするレジストリキー、ファイル、プロセスを検出けんしゅつすることで、サンドボックス内ないで実行じっこうされているかどうかをマルウェアに通知つうちする^[36]。
分析ぶんせきの回避かいひ: マルウェア分析ぶんせきを検出けんしゅつして欺あざむくために使用しようされる。たとえば、Process ExplorerやWiresharkなどの監視かんしツールを検出けんしゅつするだけでなく、リバースエンジニアリングを回避かいひするために圧縮あっしゅくや難読なんどく化かなどを行おこなう^[36]。

高度こうどなマルウェアの中なかには、このような技術ぎじゅつを組くみ合あわせて利用りようしているものもある。たとえば、RunPE（メモリー内ないで自身じしんのプロセスをもう1つ実行じっこうする）などの技術ぎじゅつを使用しようして、マルウェア対策たいさくソフトウェアやサンドボックス、分析ぶんせきを回避かいひしている。また、仮想かそう環境かんきょうに関連かんれんする特定とくていのレジストリキーを検出けんしゅつし、サンドボックスでの自動じどう分析ぶんせきや仮想かそうマシン上じょうでの動的どうてき分析ぶんせきを回避かいひするマルウェアもある^[36]。

ウイルスをはじめとしたマルウェアはセキュリティソフトに発見はっけんされないよう、下記かきのようなツールや手法しゅほうを用もちいていることがほとんどである。また、サイバーセキュリティの回避かいひ技術ぎじゅつで、よく使つかわれる用語ようごがある。ここで、攻撃こうげき者しゃが使用しようするツール、手法しゅほうや用語ようごをいくつか紹介しょうかいする^[36]。

Crypter（クリプター）: マルウェアの実行じっこう時じに、マルウェア対策たいさくエンジンや静的せいてき分析ぶんせきによる検出けんしゅつを回避かいひするため、マルウェアの暗号あんごう化かと復号ふくごうを行おこなう。クリプターは、攻撃こうげき対象たいしょうに合あわせて作成さくせいされることが多おおく、闇やみ市場いちばで購入こうにゅうすることもできる。クリプターをカスタマイズすることで、復号ふくごうや逆ぎゃくコンパイルがさらに困難こんなんになる。既知きちの高度こうどなクリプターとしては、Aegisクリプター・Armadillo・RDG Tejon などがある^[36]。
Packer（パッカー）: クリプターと似にているが、マルウェアファイルの暗号あんごう化かではなく圧縮あっしゅくを行おこなう。UPXが代表だいひょう的てきなパッカーである^[36]。
Binder（バインダー）: 複数ふくすうのマルウェアファイルを1つに結合けつごうする。マルウェアの実行じっこうファイルの拡張子かくちょうしを変更へんこうせず、JPGファイルに結合けつごうできる。マルウェア作成さくせい者しゃは、正規せいきのEXEファイルにマルウェアファイルを結合けつごうしようとする^[36]。
Pumper（ポンパー）: ファイルサイズを増ふやす。これにより、マルウェア対策たいさくエンジンによる検出けんしゅつを回避かいひできる場合ばあいがある^[36]。
FUD: マルウェアの販売はんばい者しゃがツールの説明せつめいやアピールに使用しようするもので、あらゆるマルウェア対策たいさくソフトで完全かんぜんに検出けんしゅつ不可ふか (FUD; Fully UnDetectable) であることを表あらわす。有効ゆうこうなFUDプログラムは、スキャンタイムとランタイムの両方りょうほうを組くみ合あわせ、100%検出けんしゅつ不可ふかを実現じつげんする。既知きちのFUDとして、次つぎの2種類しゅるいが知しられている^[36]。
- FUD scantime: マルウェアファイルの実行じっこう前まえに、マルウェア対策たいさくエンジンで検出けんしゅつされないように保護ほごする^[36]。
- FUD runtime: マルウェアファイルの実行じっこう中ちゅうに、マルウェア対策たいさくエンジンで検出けんしゅつされないように保護ほごする^[36]。
Unique stub generator（ユニークスタブジェネレーター）: 実行じっこう中ちゅうの各かくインスタンスに固有こゆうのスタブを作成さくせいし、検出けんしゅつと分析ぶんせきを困難こんなんにする^[36]。（スタブとは、通常つうじょう、元もとのマルウェアファイルのメモリへの読よみ込こみ（復号ふくごうまたは解凍かいとう）に使用しようするルーチンが含ふくまれる。）
ファイルレスマルウェア: ディスクにファイルを書かき込こむことはせず、自身じしんをメモリに挿入そうにゅうすることでシステムに感染かんせんする^[36]。
難読なんどく化か: マルウェアのコードを簡単かんたんに人ひとが理解りかいできないようにする。プレーンテキストの文字もじ列れつをエンコード (XOR, Base64など) し、マルウェアファイルに挿入そうにゅうしたり、ジャンク関数かんすうをファイルに追加ついかする^[36]。
ジャンクコード: 無駄むだなコードや偽にせの命令めいれいをバイナリに追加ついかし、逆ぎゃくアセンブルを欺あざむいたり、簡単かんたんに分析ぶんせきされないようにする^[36]。
アンチ: 保護ほごツールや監視かんしツールの回避かいひ、無効むこう化か、終了しゅうりょうに使用しようするすべての手法しゅほうを指さす。地下ちかフォーラムや闇やみ市場いちばで使用しようされる^[36]。
Virtual machine packer（仮想かそうマシンパッカー）: 仮想かそうマシンの概念がいねんを取とり入いれた高度こうどなパッカーである。マルウェアの EXE ファイルが圧縮あっしゅくされると、元もとのコードが仮想かそうマシンのバイトコードに変換へんかんされ、プロセッサの動作どうさをエミュレートする。既知きちのものではVMProtect、CodeVirtualizerでこの手法しゅほうが利用りようされている^[36]。

最もっとも一般いっぱん的てきな回避かいひ技術ぎじゅつは次つぎのとおりである^[36]。

難読なんどく化か: データ・変数へんすう・ネットワーク通信つうしんを保護ほごする。変数へんすうまたは関数かんすうの名前なまえをランダム化かする。XORなどのエンコーディング方法ほうほうを使用しようする^[36]。
環境かんきょうのチェック: 仮想かそう環境かんきょうに関連かんれんするツールやアーティファクトを検出けんしゅつし、セキュリティソフトやベンダ等とうの分析ぶんせきを回避かいひする^[36]。
サンドボックスの検出けんしゅつ: サンドボックス関連かんれんのファイルやプロセスを検出けんしゅつするためにディスクをチェックする^[36]。

感染かんせん経路けいろ[編集へんしゅう]

マルウェアは、下記かきのように様々さまざまな感染かんせん経路けいろによって感染かんせん活動かつどうを行おこなっている^[37]。ネットワーク感染かんせんやメール添付てんぷ感染かんせん等とうの感染かんせん手法しゅほうの他ほかに、ホームページを見みただけで感染かんせんする「Web閲覧えつらん感染かんせん型がた」も感染かんせん手法しゅほうの一ひとつとして確認かくにんされており、その方法ほうほうも高度こうど化か・巧妙こうみょう化かしている^[37]。

下記かきに感染かんせん経路けいろの例れいを示しめす^[37]^[38]。

Web閲覧えつらん感染かんせん型がた：ブラウザで閲覧えつらんしたサイトに埋うめ込こまれたマルウェアをダウンロードし、感染かんせんさせるタイプである。サイトを見みただけで感染かんせんすることもあり、インターネット利用りよう者しゃが自身じしんで感染かんせんを認識にんしきすることが難むずかしくなっている。表示ひょうじされた広告こうこくを通とおして感染かんせんする場合ばあいもある^[39]。
Web誘導ゆうどう感染かんせん型がた：メールに添付てんぷされたURLをクリックし、アクセスしたサイトからマルウェアをダウンロードするよう誘導ゆうどうして感染かんせんさせるタイプである。
偽にせセキュリティソフト配布はいふサイト誘導ゆうどう感染かんせん型がた：あたかも無料むりょうのウイルス対策たいさくソフトのように見みせかけて、悪意あくいのあるプログラムをインストールさせようとする「偽にせセキュリティソフト」の被害ひがいが増ふえている。その代表だいひょう的てきな手口てぐちは、ホームページなどで「あなたのコンピュータはウイルスに感染かんせんしています」のようなメッセージを表示ひょうじし、利用りよう者しゃを偽にせのウイルス対策たいさくソフトを配布はいふするWebサイトに誘導ゆうどうするタイプである。
ネットワーク感染かんせん型がた：Windows OS等ひとしの基本きほんソフトの設定せっていの不備ふびを悪用あくようし、感染かんせんさせるタイプである。
メール添付てんぷ型がた：メールの添付てんぷファイルにマルウェアが埋うめ込こまれており、この添付てんぷファイルをクリックすることにより、感染かんせんさせるタイプである。
外部がいぶ記憶きおく媒体ばいたい感染かんせん型がた：USBメモリ、デジタルカメラ、ミュージックプレイヤー等とうの外部がいぶ記憶きおく媒体ばいたいを介かいして感染かんせんさせるタイプである。
ファイル共有きょうゆうソフト感染かんせん型がた：ファイル共有きょうゆうソフトでは、不ふ特定とくてい多数たすうの利用りよう者しゃが自由じゆうにファイルを公開こうかいすることができるため、別べつのファイルに偽装ぎそうする等ひとしの方法ほうほうで、いつの間まにかウイルスを実行じっこうさせられてしまうタイプである。暴露ばくろウイルスなどがその一いち例れいである。
マクロプログラム悪用あくよう感染かんせん型がた：Officeアプリケーションでは、マクロを作成さくせいする際さいに、高度こうどなプログラム開発かいはつ言語げんごであるVBA (Visual Basic for Applications) を使用しようできるため、ファイルの書かき換かえや削除さくじょなど、コンピュータを自在じざいに操あやつることが可能かのうである。そのため、マクロウイルスに感染かんせんした文書ぶんしょファイルを開ひらいただけで、VBAで記述きじゅつされたウイルスが実行じっこうされしまい、脅威きょういとなるコードが実行じっこうされるタイプである。
CMS改かいざん型がた：個人こじんや企業きぎょうが運営うんえいするCMS(コンテンツマネジメントシステム・ワードプレスサイトの被害ひがいが特とくに多おおい^[40])の脆弱ぜいじゃく性せいを利用りようして、管理かんり者しゃ権限けんげんを乗のっ取とったうえで、不正ふせいなコードをウェブサイトに埋うめ込こむ^[41]。改かいざんによりマルウェアを埋うめ込こまれたサイトはスパムメールの配信はいしん元もととなったり、そのサイトにアクセスしたユーザーを意図いとしないサイトに転送てんそうしたりする。