槻ノ木隆の「BBっとWORDS」

バックナンバー

■	その116「DLNAの仕組み」 [2007/03/26]
■	その115「ドメインとActive Directory」 [2007/03/19]
■	その114「ワークグループができること」 [2007/03/12]
■	その113「WPSの仕組み」 [2007/03/05]
■	その112「Gopherの生い立ちと現在」 [2007/02/26]
■	その111「Wikiの使われ方」 [2007/02/19]
■	その110「文字コードとは」 [2007/02/05]
■	その109「IISの生い立ち」 [2007/01/29]
■	その108「NASの登場と一般への普及」 [2007/01/22]
■	その107「HomePNAのいろいろ」 [2007/01/15]
■	その106「Ogg Vorbisの成り立ち」 [2006/12/25]
■	その105「MIDIの原理とSMFの構造」 [2006/12/18]
■	その104「AIFFの構造」 [2006/12/11]
■	その103「WAVの構造と現状」 [2006/12/04]
■	その102「WMAの歴史」 [2006/11/27]
■	その101「AACの特徴」 [2006/11/20]
■	その100「MP3/MPEG Audioの仕組み」 [2006/11/13]
■	その99「HSDPAの仕組み」 [2006/11/06]
■	その98「H.264・MPEG-4 AVCの特徴」 [2006/10/30]
■	その97「IEEE 802.16e（モバイルWiMAX）の特徴」 [2006/10/23]
■	その96「TIFFの特徴」 [2006/10/16]
■	その95「PNGの現状と今後」 [2006/10/02]
■	その94「GIFの構造」 [2006/09/25]
■	その93「10GBASEの種類（2）」 [2006/09/11]
■	その92「10GBASEの種類」 [2006/09/04]
■	その91「GbEのいろいろ」 [2006/08/28]
■	その90「JPEGの特徴」 [2006/08/21]
■	その89「DivXの広がり」 [2006/08/07]
■	その88「MPEGの仕組み」 [2006/07/31]
■	その87「WMVのこれまで」 [2006/07/24]
■	その86「AVIの生い立ちとそのコーデック」 [2006/07/10]
■	その85「QuickTimeの変遷」 [2006/07/03]
■	その84「Realのこれまでと今後」 [2006/06/26]
■	その83「ShareとWinny」 [2006/06/19]
■	その82「DOCSISの仕組み」 [2006/06/12]
■	その81「SQLインジェクションの流れ」 [2006/06/05]
■	その80「RSSの動作」 [2006/05/29]
■	その79「Skypeの仕組み」 [2006/05/22]
■	その78「BitTorrentの特徴と今後」 [2006/05/15]
■	その77「Winnyの仕組みと現状」 [2006/05/08]
■	その76「WinMXの特徴」 [2006/04/24]
■	その75「Gnutellaの歴史と構造」 [2006/04/17]
■	その74「Napsterの歴史」 [2006/04/10]
■	その73「P2Pのいろいろ」 [2006/04/03]
■	その72「IEEE 802.11nの動向」 [2006/03/27]
■	その71「ActiveX Scriptingの動作」 [2006/03/20]
■	その70「Ajaxの仕組み」 [2006/03/13]
■	その69「DHTMLの動作」 [2006/03/06]
■	その68「Scriptの定義」 [2006/02/27]
■	その67「JavaScriptの仕組み」 [2006/02/20]
■	その66「Javaの動作」 [2006/02/13]
■	その65「RFCのプロセス」 [2006/02/06]
■	その64「ActiveX DocumentとActiveX Controlの違いと共通点」 [2006/01/30]
■	その63「ActiveX Controlの機能」 [2006/01/23]
■	その62「ActiveXを構成するもの」 [2006/01/16]
■	その61「Cookieの仕組みと用途」 [2005/12/26]
■	その60「malwareとその分類」 [2005/12/19]
■	その59「rootkitの動作」 [2005/12/12]
■	その58「CSSの役割」 [2005/12/05]
■	その57「HTMLの変遷」 [2005/11/28]
■	その56「PONとその種類」 [2005/11/21]
■	その55「FWAの仕組み」 [2005/11/14]
■	その54「DoSとDDoS」 [2005/11/07]
■	その53「SNMPとMIBの動作」 [2005/10/03]
■	その52「Jumbo Frameとフレームサイズ」 [2005/09/12]
■	その51「WPA2の仕組み」 [2005/09/05]
■	その50「WPAとWPA-PSKの違い」 [2005/08/29]
■	その49「WPAの仕組み」 [2005/08/22]
■	その48「WebDAVの動作」 [2005/08/08]
■	その47「OFDMAの仕組みとOFDMとの違い」 [2005/08/01]
■	その46「OFDMの仕組み」 [2005/07/25]
■	その45「WiMAXの特徴」 [2005/07/11]
■	その44「Wi-Fiの役割」 [2005/07/04]
■	その43「FTPの目的と動作」 [2005/06/27]
■	その42「UPnPの動作」 [2005/06/20]
■	その41「ネットマスクの仕組み」 [2005/06/13]
■	その40「ARPの機能」 [2005/06/06]
■	その39「DNSの原理」 [2005/05/30]
■	その38「デフォルトゲートウェイの役割」 [2005/05/23]
■	その37「MACアドレスの仕組み」 [2005/05/16]
■	その36「スイッチとその進化」 [2005/05/09]
■	その35「ルータによるメリット」 [2005/04/25]
■	その34「ブリッジの原理」 [2005/04/18]
■	その33「リピータの機能」 [2005/04/11]
■	その32「IPアドレスのクラス」 [2005/04/04]
■	その31「ブロードキャスト/マルチキャスト/ユニキャスト」 [2005/03/28]
■	その30「SMTP AUTHと認証の種類」 [2005/03/14]
■	その29「Submissionポートとスパムメール対策」 [2005/03/07]
■	その28「Outbound Port25 Blockingとは」 [2005/02/28]
■	その27「PGPの仕組み」 [2005/02/21]
■	その26「PKIと認証局」 [2005/02/14]
■	その25「公開鍵暗号方式とは」 [2005/02/07]
■	その24「共通鍵暗号とは」 [2005/01/31]
■	その23「SSHの仕組みと応用」 [2005/01/24]
■	その22「SSLの役割」 [2005/01/17]
■	その21「POP3とIMAP4の違い」 [2004/12/27]
■	その20「POP3の役割と機能」 [2004/12/20]
■	その19「SMTPの機能と問題点」 [2004/12/13]
■	その18「SPIとパケットフィルタリング」 [2004/12/06]
■	その17「LANの概念とその広がり」 [2004/11/29]
■	その16「SIPの役割」 [2004/11/15]
■	その15「プロキシの利用」 [2004/11/08]
■	その14「VoIPの仕組み」 [2004/11/01]
■	その13「イーサネットとは」 [2004/10/25]
■	その12「IP/TCP/UDP/ICMPとは」 [2004/10/18]
■	その11「DHCPの役割」 [2004/10/04]
■	その10「MIMOとは」 [2004/09/27]
■	その9「DMZとその効果」 [2004/09/13]
■	その8「ファイアウォールとは」 [2004/09/06]
■	その7「NATとNAPTの違いとIPマスカレード」 [2004/08/30]
■	その6「VPNとVPNパススルーの仕組み」 [2004/08/23]
■	その5「無線LANの問題とWEP」 [2004/08/09]
■	その4「IEEE 802.11a/b/gって何を意味しているの？」 [2004/08/02]
■	その3「ダイナミックDNSって？」 [2004/07/26]
■	その2「グローバルIPアドレスとプライベートIPアドレス」 [2004/07/12]
■	その1「PPPoEって何だろう？」 [2004/07/05]

その60「malwareとその分類」

■ malwareって何？

　前回のrootkitの説明の最後に触れたとおり、今回は「malware」について説明したいと思います。

　malwareとは、「malicious（悪意のある、意地の悪い、不当な）」と「software」を組み合わせた造語です。そもそも英語では、「malfunction（不調、機能不全）」や「malodor（悪臭）」など、malを接頭詞としてつけることで、「悪い」を意味させる単語が多くあります。malwareもその一例ですが、malsoftwareとしなかったのは多分長くなりすぎるからでしょう。

　一般にmalwareは、「悪意のある、不正なソフトウェア」を指します。ただし、「悪意」というのは誰にとっての悪意か、「不正」の定義は？　となると微妙な点があったりするので、malwareの定義は本質的に曖昧です。例えば、侵入したマシンのHDDをフォーマットしたり、OSをクラッシュさせたりするソフトウェアは、作り手がそもそも「悪意」をもって作っているので、この判断が容易です。

　ところが、あるアプリケーションの都合で、表に出ない形でこっそり動くような常駐ソフトが、受け手の意識からすれば「悪意を持って動いている」と受け取られることもあります。従って、何をもって悪意とするかは非常に微妙なところです。

　同様に、不正なソフトウェアの定義も微妙です。一般的な話として、ユーザーが明示的にインストールしていないにも関わらず勝手にインストールされ、動作するソフトウェアを不正なソフトウェアと認識するようですが、そうなるとサイトの広告ポップアップをどう判断するかという問題が出てくるわけです。広告ポップアップ系はmalwareに含めないのが一般的な認識ですが、今後ともこうした個別判断が必要なケースは増えてくるでしょう。

■ malwareに分類されるもの

　そういうわけで、どこからどこまでがmalwareか、特に境界線上にあるものの判断は難しいのですが、逆に「これはmalwareだ」と判断されるケースもいくつかあるので、こういったものをご紹介したいと思います。

　malwareの定義に含まれるものは、大体が以下の項目のいずれか1つ以上に当てはまります。

（1）侵入：システムが予期しない方法（セキュリティホール、バックドア、別のソフトウェアに付随するなど）でシステムに侵入する。
（2）常駐：ユーザーが意図しない形で、システムに常駐する。
（3）遮蔽：ユーザーから発見されないように、見え方を偽装したり、不可視化（プロセス一覧から見えなくするなど）したり、痕跡（ログファイルなど）を削除、加工する。

（4）権限の獲得：不正にシステム権限を取得して、システム全体の操作を可能にする。
（5）情報の取得：アドレス帳やブックマーク、ファイルの内容などをコピーしたり、画面のスクリーンショットやユーザーのキーストロークまでも記録するものがあります。
（6）情報の送信：（5）で取得した情報を、別の場所にさまざまな方法で送信する。
（7）遠隔操作：（6）とは逆に、外部からそのPCを操作する命令を受け付けて、実行させる。
（8）操作の妨害：ユーザーの操作を妨害するような行為を行なう。
（9）破壊：システムの一部やすべてを強制的にクラッシュさせたり、ファイルを破壊したり、あるいはシステム内部の設定を書き換えたりする
（10）外部への攻撃：侵入されたシステムから外部に対して、さまざまな攻撃を行なう。
（11）外部への侵入：侵入されたシステムの周囲にある別のシステムに侵入する。

　では、具体的にどんなmalwareがどれに該当するのかを見ていくことにしましょう。malwareとしてよく分類されるものには、以下のようなものがあります。

・Virus（ウイルス）
　いわゆるコンピュータウイルスです。Virusには非常に多くの種類があり、また次のworm（ワーム）と混同されることもありますが、基本的にはシステムの破壊に繋がるものがVirusと分類されるようです。通商産業省（現経済産業省）が2000年に告知した「コンピュータウイルス対策基準」によれば、「自己伝染機能」「潜伏機能」「発病機能」の3つのいずれかがあるものをVirusとしていますが、これはあまりに範囲が広すぎる気がします。

・Worm（ワーム）
　Virusと良く似ていますが、どちらかといえば破壊以外のことをするのがWormに分類されやすいようです。あるサイトにDDoS（関連記事）を行なう場合、DoS攻撃用クライアントを幅広くバラ撒く必要があるわけですが、こうした目的に使われるのを最近はWormと分類するようになってきています。

・Trojan（トロイ）
　これはrootkitの一部を成していると考えるのが1番良いかもしれません。基本的には侵入と遠隔操作、情報取得などの口をあけるソフトでしょう。

・rootkit（ルートキット）
　前回ご紹介したものですが、要するに侵入から始まる一連の操作を簡単に行なえるようにするソフトです。

・Spyware（スパイウェア）
　システム内の情報を取得して、特定の宛先に送るソフト。簡単なものではWebブラウザの訪問履歴やURL、Cookieを取得して、広告などに連動させようというあたりがこれにあたります。

・Keylogger（キーロガー）
　Spywareの1種ですが、ユーザーのキー操作に絞ってデータを取得し、これを別の所に転送するソフトです。これを仕込まれると、例えばオンラインショッピングサイトでカード番号など個人情報が全部筒抜けになってしまうので、大変危険です。

・Hijacker（ハイジャッカー）
　文字通り「乗っ取り」です。よくあるのがブラウザハイジャッカー（無条件で特定のURLに飛ばす）やサーチハイジャッカー（検索をかけると、特定の検索サイトに飛ばす）ですが、最近派生形が増えているとのことです。

・Adware（アドウェア）
　狭義には「広告を表示するソフトウェア」です。例えばWebブラウザのOperaも、7.x台までは「無償版は広告を表示、有償版は広告なし」という契約になっており、ユーザーが無償版を選ぶと広告が常に表示されるという形で対価を支払っていたわけですが、これはまったくもって無害であり、malwareには入りません。ところが、一見ただの無害なAdwareに見えて、内部的にはSpywareの機能を持たせてあるソフトが少なくありませんでした。

　このほかにも、Browser Crusher（通称ブラクラ）など、さまざまな悪意を持ったソフトは多いのですが、キリがないのでこの辺でやめておきます。あらためて表を見ていただけると、ほとんどのソフトウェアが重複した項目を持っていることがわかります。ですので、あるソフトがWormかVirusかSpywareかを判断するのは非常に難しいというか、これら複数の機能を全部持ったソフトとかもあるわけで、分類はますます難しくなっているのが現状です。

侵入常駐遮蔽権限の獲得情報の取得情報の送信遠隔操作操作の妨害破壊外部への攻撃外部への侵入

Virus ○ ○ ○ △ △ △ △ △ ○ △ ○

Worm ○ ○ ○ ○ ○ △ △ △ △ △ ○

Trojan ○ ○ ○ ○ ○ ○ ○ △ △ △ △

rootkit ○ ○ ○ ○ △ △ △ △ △ △ △

Spyware ○ ○ ○ △ ○ ○ × × × △ △

Keylogger ○ ○ ○ △ ○ ○ △ × × × ×

Hijacker ○ ○ ○ △ △ × × ○ △ × ×

Adware △ ○ △ △ △ △ × × × × ×

○：ほぼ間違いなくこの特徴を兼ね備えている
△：この特徴を持っていることもあるが、必須ではない
×：この特徴をもっていることはまずないか、稀

　こうしたことの対策として、まずパーソナルファイアウォールやワクチン、あるいは脆弱性パッチなどでの水際攻撃（そもそもmalwareに侵入されないように努める）があるわけですが、これとは別に侵入されても安全性を確保するための研究も行なわれています。

　IntelのLaGrande Technologyや、AMDのPresidioと呼ばれる技術がそれで、どちらもMicrosoftが定めたNGSCB（Next Generation Secure Computing Base）と呼ばれる仕様を満たすものです。この技術を使うと、そもそも侵入されてもOS全体の権限を取得したり、情報を取得したりできないような環境を作ることができます。

　つまり、水際撃破に失敗したら、次は奥深くまで敵を引き込んでの包囲殲滅を図ろうというわけです。ただ、このNGSCBがWindows Vistaに間に合うのか、時期的には微妙な感じとなっているので、今しばらくは水際撃退で対処していくしかないようです。

2005/12/19 11:01

槻ノ木隆
　国内某メーカーのネットワーク関係「エンジニア」から「元エンジニア」に限りなく近いところに流れてきてしまった。ここ２年ほどは、企画とか教育、営業に近いことばかりやっており、まもなく肩書きは「退役エンジニア」になると思われる。（イラスト：Mikebow）

Broadband Watch ホームページ