今どきのウイルスに対抗する方法を教えてください
Q. ウイルスはどうやって検出するの? A. パターンマッチングが基本ですが、最近はもっと進化しています。 |
ネットにつなぐだけで感染
インターネットが普及する以前のウイルスの感染経路は、ほとんどがフロッピーを通じたものだった。だが今では、メールやメッセンジャ、USBメモリやWebサイト閲覧、加えてファイアウォールでの防御がない場合にはインターネットに接続するだけでもウイルスに感染してしまうことがある。ブロードバンド環境が整ったことで、ウイルスの伝播速度も格段に速くなってしまったのだ。
では、そもそもコンピュータウイルスとは、いったい何なのだろうか。表1に分類したように、ウイルスという名称はパソコンに害を及ぼす悪性コードのほんの一部分を指すにすぎない。代表的なものを見てみよう。
表1 悪性コードと有害プログラムの分類。最近ではすべてまとめて「マルウェア」と呼ぶこともある
ウイルスは正常なファイルの一部を書き換えるなどして「寄生」しつつ増殖するので、「駆除」の対象となる。症状が出るまで潜伏するタイプのものや、パソコンの一定の動作に合わせて発症するものもある。
ワームは、基本的に独立したファイルで、自身をコピーし増殖するため、発見後「削除」する必要がある。
トロイの木馬は正常なファイルを装ってパソコンに入り込み、パソコンの「裏口」を開いて情報を盗んだりする。
また、スパイウェアなどは比較的新しい概念だが、その一部は普通のソフトウェアとして使われており、すべてが必ずしも危険なものばかりではないので、ユーザー自身が判断して駆除する必要がある。
ウイルスの検出方法
では、これらに対処するために販売されている「ウイルス対策ソフト」は、どのような仕組みで動作しているのだろうか。
一般的なウイルス対策ソフトは、ウイルスプログラムのパターン(特徴)を記録したファイル(パターンファイル)と、パソコンに入ってくるファイルを比べて、一致している場合はウイルスであると判断しウイルスとして検出する。これがいわゆる「パターンマッチング」方式である。アンラボではこれを「エンジン」と呼んで毎日新しいバージョンを配布している。「シグネチャ」や「定義ファイル」などウイルス対策ソフトメーカーによって呼び名は異なるが、これらはほぼ同じものと解釈して構わない。
エンジン(パターンファイル)を作成するために、ウイルス対策ソフトメーカーは24時間365日対応を行なっている。ウイルスの危険からユーザーを守るため、昼夜なく働いているというわけだ。
しかし、たとえば2008年7月にアンラボがパターンファイルで対応したウイルスの数は、1日平均で1500個を超える。これらはすべてオリジナルのウイルスではなく、数多くの「亜種」を含んでいる。亜種とは、元のウイルスに少しだけ変更を加えたウイルスのことだ。1992年7月2日、ウイルス製作集団NuKEが「VCL(Virus Creation Laboratory)」という、ウイルス製作機とでもいうべきツールを配布し始めた。これにより、技術レベルが高くないクラッカーでも簡単にウイルスの亜種を製作できるようになった。こうしてウイルスの種類/亜種の数が膨大になり、パターンファイルは過去になく大きく複雑になってしまった。ウイルス対策ソフトメーカーではパターンファイルの小型化を進めているが、急増するウイルスに追い付いていないのが現状だ。
(次ページ、「ヒューリスティック方式とホワイトリスト方式」に続く)