脅威の種類

本マニュアルにおける 「脅威」 とは、コンピューターやネットワークに対して潜在的または直接的な損害を与え、ユーザーの情報や権利を侵害する可能性のある、あらゆる種類のソフトウェア（悪意のあるソフトウェアやその他の不要なソフトウェア）を意味します。ただし、広義では、コンピューターまたはネットワークのセキュリティに対するあらゆる種類の潜在的な危険（すなわちハッカー攻撃に悪用される可能性のある脆弱性）を指して「脅威」とする場合があります。

下記に記載するソフトウェアはすべて、ユーザーのデータや機密性を脅かす機能を持っています。自身の存在をユーザーから隠さないアプリケーション（スパムを送信するソフトウェアやトラフィックアナライザなど）は状況によっては脅威と成り得ますが、通常はコンピューター脅威としては見なされません。

コンピューターウイルス

この種類のコンピューター脅威は、実行中の他のソフトウェアのプロセス内に悪意のあるコードを挿入する（これを感染と呼びます）ことができるという特徴を持っています。多くの場合、感染したファイルはそれ自体がウイルスのキャリアとなり、また挿入されたコードは必ずしもオリジナルのものと一致するとは限りません。ほとんどのウイルスは、システム内のデータを破損させる、または破壊する目的を持っています。

Doctor Web では、コンピューターウイルスは感染させるオブジェクトに応じて次のカテゴリーに分類されます。

•ファイルウイルス - OSファイルを感染させ（通常、実行ファイルとダイナミックライブラリ）、それらが実行されると同時に起動します。

•マクロウイルス - Microsoft® Office、またはマクロコマンド（Visual Basicで記述されているものなど）に対応しているその他のプログラムで使用されるドキュメントを感染させるウイルスです。マクロコマンドは、完全なプログラミング言語で書かれた埋め込み型のプログラム（マクロ）で、特定の状況下で起動されます（例えばMicrosoft® Wordでは、ドキュメントを開く、閉じる、または保存すると自動的にマクロが開始されます）。

• スクリプトウイルス - スクリプト言語を使用して作成され、多くの場合、別のスクリプト（OSサービスファイルなど）を感染させます。Webアプリケーション内の脆弱なスクリプトを悪用することで、スクリプトの実行に対応しているその他の種類のファイルを感染させることもできます。

•ブートウイルス - ディスクのブートセクター、ハードディスクのパーティションやマスターブートレコードを感染させます。メモリをほとんど消費せず、システムがロールアウト、再起動、またはシャットダウンするまで、そのタスクを続行することができます。

多くのウイルスは自身を検出から保護するための特別なメカニズムを持ち、これらのメカニズムは常に進化を続けています。しかしそれと同時に、それらに対抗するための技術も進化しています。使用する保護手法に応じて、ウイルスは次の2つのグループに分類することができます。

•暗号化ウイルス - ファイル、ブートセクター、メモリ内で検出されるのを防ぐため、感染の度に自身のコードを暗号化します。このウイルスのサンプルはすべて、ウイルスのシグネチャとして使用可能な共通のコードフラグメント（復号化プロシージャ）のみを含んでいます。

•ポリモーフィック型ウイルス - コード暗号化の他に特別な復号化プロシージャを用います。このプロシージャは各コ ピーごとに異なっています。つまり、この種類のウイルスはバイトシグネチャを持ちません。

•ステルスウイルス（インビジブルウイルス） - 特定のアクションを実行することで、感染したオブジェクトでの自身の活動と存在を隠します。この種類のウイルスは、感染させる前のオブジェクトの特性を収集して「ダミー」として表示させ、改変したファイルがスキャナーに検出されないようにします。

ウイルスは、記述された言語（多くの場合はアセンブリで書かれていますが、高度なプログラミング言語やスクリプト言語などで書かれたウイルスもあります）や感染させるOSに応じて分類することもできます。

コンピューターワーム

ワームは、ウイルスやその他のマルウェアよりも広く拡散されるようになってきています。ウイルス同様、自身を複製することができますが、他のオブジェクトを感染させることはありません。ネットワークからコンピューターに侵入し（通常、メールの添付ファイルとして）、ネットワーク内にある他のコンピューターに自身のコピーを拡散します。拡散はユーザーのアクションに応じて、または自動的に開始されます。

ワームは1つのファイル（ワームのボディ）から成っているとは限りません。多くのワームが、メインメモリ（RAM）内にロードされる、いわゆる感染部分（シェルコード）を持っています。その後、シェルコードによって、ワームのボディがネットワーク経由で実行ファイルとしてダウンロードされます。シェルコードがシステム内に存在するだけであれば、システムを再起動することで（RAMが削除されリセットされます）ワームを削除することができますが、ワームのボディがコンピューターに侵入してしまった場合はアンチウイルスプログラムでなければ対処できません。

ワームはその急速な拡散速度によって、例えペイロードを持っていない（システムに直接的な被害を与えない）場合であっても、ネットワーク全体の機能を損なう能力を持っています。

Doctor Webでは、拡散手法に応じてワームを以下のように分類します。

•ネットワークワーム - 様々なネットワークおよびファイル共有プロトコル経由で拡散されます。

•メールワーム - メールプロトコル（POP3、SMTPなど）経由で拡散されます。

•チャットワーム - 広く使用されているメッセンジャーやチャットプログラム（ICQ、IM、IRCなど）のプロトコルを使用します。

トロイの木馬

この種類のコンピューター脅威は自己複製しません。トロイの木馬は頻繁に使用されるプログラムに成り代わり、その機能を実行します（または動作を模倣します）。同時に、システム内で悪意のある動作（データの破損または削除、機密情報の送信など）を実行したり、ハッカーが許可なしにコンピューターにアクセス（たとえば第三者のコンピューターに損害を与えるために）することを可能にします。

ウイルス同様、トロイの木馬もまたさまざまな悪意のある動作を実行し、ユーザーから自身の存在を隠すほか、それ自体がウイルスのコンポーネントとなる場合もあります。ただし、多くのトロイの木馬は、ユーザーまたは特定のシステムプロセスによって起動される個別の実行ファイルとして拡散されます（ファイル交換サーバー、リムーバブルストレージ、メール添付ファイルなどを介して）。

トロイの木馬はウイルスやワームによって拡散される場合があり、また、トロイの木馬の実行する悪意のある動作の多くが他の種類の脅威によっても実行されうることから、その分類が難しくなっています。以下のトロイの木馬は、Doctor Webでは個別のクラスとして分類されています。

•バックドア - 保護メカニズムをすり抜けてシステム内にログインし、権限を取得するトロイの木馬です。バックドアはファイルを感染させることはなく、レジストリキーを改変することで自身をレジストリ内に登録します。

•ルートキット - 自身の存在を隠す目的でOSのシステム機能を妨害するように設計された悪意のあるプログラムです。また、その他のプログラムのプロセスやレジストリキー、フォルダ、ファイルを隠すことができます。個別のプログラムとして、または他の悪意のあるアプリケーションのコンポーネントとして拡散されます。ルートキットはその動作モードによって2つのグループに分けられます。ユーザーモードで動作するユーザーモードルートキット（UMR）と、カーネルモードで動作するカーネルモードルートキット（KMR）です。UMRはユーザーモードライブラリ機能を妨害し、一方、KMRはシステムのカーネルレベルで機能を妨害し、その検出を困難にします。

•キーロガー - 機密情報（ネットワークパスワード、ログイン、バンクカードデータなど）を盗む目的で、ユーザーがキーボードを使用して入力したデータを記録します。

•クリッカー - Webサイトのトラフィックを増加させるため、またはDDoS攻撃を実行するためにユーザーを特定のインターネットリソースへリダレクトします。

•プロキシ型トロイの木馬 - サイバー犯罪者が被害者のコンピューターを経由して匿名でインターネットにアクセスすることを可能にします。

トロイの木馬は上記以外の悪意のある動作を実行することも可能です。例えば、ブラウザのホームページを変更したり、特定のファイルを削除することができます。ただし、それらの動作はその他の種類の脅威（ウイルスまたはワーム）によっても実行されることがあります。

ハッキングツール

ハッキングツールは、侵入者によるハッキングを可能にするプログラムです。最も一般的なものは、ファイアーウォールやコンピューター保護システムのその他のコンポーネントにおける脆弱性を検出するポートスキャナです。それらのツールはハッカーだけではなく、管理者がネットワークのセキュリティを検査するためにも用いられます。ハッキングにも使用することのできる一般的なソフトウェアや、ソーシャルエンジニアリングテクニックを使用するさまざまなプログラムもハッキングツールに分類されることがあります。

アドウェア

アドウェアは通常、ユーザーの画面に強制的に広告を表示させるフリーウェアプログラム内に組み込まれたプログラムコードを指します。ただしそのようなコードは、他の悪意のあるプログラム経由で配信されてWebブラウザ上に広告を表示させる場合もあります。アドウェアプログラムの多くは、スパイウェアによって収集されたデータを用いて動作します。

ジョークプログラム

アドウェア同様、このタイプの軽微な脅威はシステムに対して直接的な被害を与えることはありません。ジョークプログラムは通常、実際には起こっていないエラーに関するメッセージを表示させ、データの損失につながるアクションの実行を要求します。その目的はユーザを脅えさせたり、不快感を与えたりすることにあります。

ダイアラー

幅広く電話番号をスキャンし、モデムとして応答するものを見つけるための特別なプログラムです。その後、攻撃者がその番号を使用することによって被害者に通話料の請求書が送られます。または被害者が高額な電話サービスに接続されます。

リスクウェア

これらのソフトウェアアプリケーションは悪意のある目的のために作成されたものではありませんが、コンピューターセキュリティに対する脅威となりうる特徴を持っているため、軽微な脅威として分類されます。リスクウェアには、データを破損または削除してしまう危険性のあるプログラムのほか、ハッカーや悪意のあるアプリケーションによってシステムに害を与えるために利用される可能性のあるプログラムが含まれます。そのようなプログラムには、さまざまなリモートチャットおよび管理ツール、FTPサーバーなどがあります。

疑わしいオブジェクト

ヒューリスティックアナライザによって検出される、潜在的なコンピューター脅威です。このようなオブジェクトには、あらゆる種類の脅威（情報セキュリティスペシャリストにとって未知のものでさえも）が含まれ、また、誤検出の際には安全なオブジェクトであることが判明する場合もあります。疑わしいオブジェクトを含むファイルは隔離へ移動し、解析のために Doctor Web アンチウイルスラボへ送信することを強く推奨します。