付録A. コンピューター脅威の種類

本マニュアルでは、コンピューターやネットワークに対して潜在的または直接的な損害を与え、ユーザーの情報や権限を侵害するあらゆる種類のソフトウェアを 「脅威」 と定義します（悪意のあるソフトウェアやその他の不要なソフトウェア）。広義では、コンピューターまたはネットワークのセキュリティに対するあらゆる種類の潜在的な危険（すなわちハッカー攻撃につながる脆弱性）を指して「脅威」とする場合があります。

以下に記載するすべての種類のプログラムは、ユーザーのデータまたは機密情報を危険にさらすものです。姿を隠さないプログラム（スパム配信ソフトウェアや様々なトラフィックアナライザなど）は、状況によっては脅威と化す可能性はありますが、通常はコンピューター脅威とみなされません。

コンピューターウイルス

この種類のコンピューター脅威は、他のオブジェクト内にそのコードを埋め込む（これを 感染 と呼びます）ことができるという特徴を持っています。多くの場合、感染したファイルはそれ自体がウイルスのキャリアとなり、また埋め込まれたコードは必ずしもオリジナルのものと一致するとは限りません。ほとんどのウイルスは、システム内のデータを破損させる、または破壊する目的を持っています。

Doctor Webの分類では、ウイルスは感染させるオブジェクトの種類に応じて分けられます。

•ファイルウイルス - OSのファイル（通常、実行ファイルおよびダイナミックライブラリ）を感染させ、そのファイルの起動と同時にアクティブになります。

•マクロウイルス は、Microsoft®Officeやマクロコマンドをサポートする他のアプリケーション（Visual Basicで書かれたものなど）が使用するドキュメントを感染させるウイルスです。マクロコマンド は、完全に機能するプログラミング言語で書かれた一種の実装プログラム（マクロ）です。たとえば、Microsoft® Wordでは、文書を開く（閉じる、保存するなど）と自動的にマクロが開始されます。

•スクリプトウイルス - スクリプト言語を使用して作成され、他のスクリプト（OSのサービスファイルなど）を感染させます。また、スクリプトの実行が可能な他のファイルフォーマットも感染させることができ、Webアプリケーションにおけるスクリプトの脆弱性を悪用します。

•ブートウイルス - ディスクのブートレコード、ハードディスクドライブのパーティションまたはマスターブートレコードを感染させます。メモリをほとんど消費せず、システムがロールアウト、再起動、またはシャットダウンするまで、そのタスクを続行できる状態を保ちます。

多くのウイルスは検出に対抗する何らかの手段を持ち、その手法は常時改良され続けています。すべてのウイルスは、その使用する手法に応じて分類できます。

•暗号化ウイルス - ファイル、ブートセクター、またはメモリ内で検出されるのを防ぐため、感染の度に自身のコードを暗号化します。このウイルスのコピーはすべて、ウイルスのシグネチャとして使用される共通のコードフラグメント（復号プロシージャ）のみを含んでいます。

•ポリモーフィック型ウイルス - 同様に自身のコードを暗号化しますが、コピーごとに異なる特別な復号プロシージャの生成も行います。つまり、この種類のウイルスはシグネチャバイトを持ちません。

•ステルスウイルス - その活動を偽り、感染したオブジェクト内に潜むための動作を実行します。この種類のウイルスは、感染させる前のオブジェクトの情報を「ダミー」として表示させ、改変したファイルが検出されないようにします。

ウイルスは、書かれているプログラミング言語（ほとんどの場合アセンブラ、高級プログラミング言語、スクリプト言語など）、または感染させるOSに応じて分類することもできます。

コンピューターワーム

「コンピューターワーム」型の悪意のあるプログラムは、ウイルスやその他のマルウェアよりも多く見られるようになってきています。ウイルス同様、自身を複製し拡散できますが、他のオブジェクトを感染させることはありません。ネットワークを通じて（通常、メールの添付ファイルとして）侵入し、ネットワーク内にある他のコンピューターにコピーを拡散します。ユーザーの操作に応じて、または攻撃するコンピューターを選択する自動モードで拡散を開始します。

ワームは1つのファイル（ワームの本体）のみで構成されているとは限りません。多くのワームが、メインメモリ（RAM）内に読み込んだ後にワームの本体を実行ファイルとしてネットワーク経由でダウンロードする感染部分（シェルコード）を持っています。シェルコードがシステム内に存在するだけであれば、システムを再起動することで（RAMが削除されリセットされます）ワームを削除できますが、ワームの本体がコンピューターに侵入してしまった場合はアンチウイルスプログラムのみが対処可能です。

ワームはその驚異的な拡散速度によって、ペイロードを持っていない（直接的な被害を与えない）場合であっても、ネットワーク全体の機能を破壊する能力を持っています。

Doctor Webの分類では、ワームはその拡散方法によって以下のように分けられます。

•ネットワークワーム - 様々なネットワークおよびファイル共有プロトコル経由で自身のコピーを拡散します。

•メールワーム - メールプロトコル（POP3、SMTPなど）を使用して拡散します。

•チャットワーム - 広く使用されているメッセンジャーおよびチャットプログラム（ICQ、IM、IRCなど）のプロトコルを使用します。

トロイの木馬プログラム

この種類のコンピューター脅威は自身を複製せず、他のプログラムを感染させません。トロイの木馬は頻繁に使用されるプログラムに成り代わり、その機能を実行します（または動作を模倣します）。同時に、システム内で悪意のある動作（データを破損または破壊、機密情報を送信など）を実行したり、ハッカーが許可なしにコンピューターにアクセス（たとえば第三者のコンピューターに損害を与えるために）することを可能にします。

トロイの木馬の悪意のある特徴はウイルスのものと類似しており、またトロイの木馬がウイルスのコンポーネントであるという場合もあります。しかし、ほとんどのトロイの木馬は、ユーザーまたはシステムタスクによって起動される個別の実行ファイルとして配布されます（ファイル交換サーバー、リムーバブルストレージ、メール添付ファイルなどを介して）。

トロイの木馬はしばしばウイルスやワームによって配布されることや、他の種類の脅威によっても実行されうる悪意のある動作の多くがトロイの木馬にも起因することから、その分類が難しくなっています。以下のトロイの木馬は、Doctor Webでは個別の種類として分類されています。

•バックドア - 既存のアクセスおよびセキュリティシステムをすり抜けて侵入者がシステム内にログイン、または権限を必要とする機能を使用することを可能にしてしまうトロイの木馬です。バックドアはファイルを感染させませんが、自身をレジストリ内に書き込んでレジストリキーを改変します。

•ルートキット - その存在を隠す目的で、OSのシステム機能を妨害するように設計された悪意のあるプログラムです。さらに、他のプログラム（他の脅威など）のプロセスや異なるレジストリキー、フォルダ、ファイルを隠ぺいすることもできます。ルートキットは独立したプログラムとして、または他の悪意のあるプログラムに含まれるコンポーネントとして拡散されます。また、その動作モードによって2つのグループに分けられます。ユーザーモードで動作する ユーザーモードルートキット（UMR） と、カーネルモードで動作する カーネルモードルートキット（KMR） です。UMRはユーザーモードライブラリ機能を妨害し、一方、KMRはシステムのカーネルレベルで機能を妨害し、自身の検出を困難にします。

•キーロガー - ユーザーがキーボードで入力した情報を記録します。その目的は個人情報（ネットワークパスワード、ログイン、クレジットカードデータなど）を盗むことです。

•クリッカー - Webサイトのトラフィックを増加させる目的で、またはDDoS攻撃を実行するためにハイパーリンクを別のアドレスにリダレクトします。

•プロキシ型トロイの木馬 - 被害者のコンピューターを介して匿名でインターネットにアクセスすることを可能にします。

トロイの木馬は、Webブラウザのスタートページを変更したり特定のファイルを削除したりするなど、これら以外の悪意のある動作も実行することがあります。ただしそのような動作もまた、他の種類の脅威（ウイルスやワーム）によって実行される場合があります。

ハッキングツール

ハッキングツールは、侵入者によるハッキングを可能にするプログラムです。最も一般的なものは、ファイアーウォールまたはその他のコンピューター保護システムコンポーネントの脆弱性を検出するポートスキャナです。それらのツールはハッカーだけではなく、管理者がネットワークのセキュリティを検査するためにも用いられます。ハッキングに使用することのできる一般的なソフトウェアや、ソーシャルエンジニアリングテクニックを使用する様々なプログラムもハッキングツールに含まれることがあります。

アドウェア

通常、ユーザーの画面に強制的に広告を表示させるフリーウェアプログラム内に組み込まれたプログラムコードを指します。ただしそのようなコードは、他の悪意のあるプログラム経由で配布されてWebブラウザ上に広告を表示させる場合もあります。アドウェアプログラムの多くは、スパイウェアによって収集されたデータを用いています。

ジョークプログラム

アドウェア同様、この種類の脅威はシステムに対して直接的な被害を与えることはありません。ジョークプログラムは通常、実際には起こっていないエラーに関するメッセージを表示させ、データの損失につながるアクションの実行を要求します。その目的はユーザーを驚かせ不快感を与えることにあります。

ダイアラー

幅広く電話番号をスキャンし、モデムとして応答するものを見つけるための特別なコンピュータープログラムです。その後、攻撃者がその番号を使用することによって被害者に通話料の請求書が送られます。または被害者が気づかぬうちに、モデム経由で高額な電話サービスに接続されます。

リスクウェア

これらのソフトウェアアプリケーションは悪意のある目的のために作成されたものではありませんが、コンピューターセキュリティに対する脅威となりうる特徴を持っているため、危険度の低い脅威として分類されます。リスクウェアプログラムはデータを破損または削除してしまう可能性があるのみならず、クラッカー（悪意のあるハッカー）や悪意のあるプログラムによって、システムに被害を与える目的で使用されることがあります。そのようなプログラムの中には、さまざまなリモートチャットおよび管理ツール、FTPサーバーなどがあります。

疑わしいオブジェクト

これらはヒューリスティックアナライザによって検出される、潜在的なコンピューター脅威です。そのようなオブジェクトはいかなる脅威（未知のものを含む）でもありえ、また誤検出の場合には安全なオブジェクトである可能性もあります。疑わしいオブジェクトを含むファイルは隔離に移すことが推奨されます。また、疑わしいオブジェクトは解析のために Doctor Webウイルスラボに送信してください。