言葉の定義があいまいになるときがあるので、マルウェアで使われる言葉の定義をまとめてみました。
マルウェア
マルウェアとは、「Malicious Software」(悪意のあるソフトウェア)を略したもので、脆弱性や重要情報を窃取するなどの攻撃をするソフトウェアの総称です。広義な用語として使われており、コンピュータウイルスや、ワーム、スパイウェア、アドウェアなどさまざまな種類のマルウェアが存在しています。
コンピュータウイルス
他のプログラム等に対して意図的に何らかの被害を及ぼすように作られたプログラムで、以下の機能をの内、一つ以上有するもの。
- 自己伝染機能
自らの機能によって他のプログラムに自らをコピーし又はシステム機能を利用して自らを他のシステムにコピーすることにより、 他のシステムに伝染する機能 - 潜伏機能
発病するための特定時刻、一定時間、処理回数等の条件を記憶させて、発病するまで症状を出さない機能 - 発病機能
プログラム、データ等のファイルの破壊を行ったり、設計者の意図しない動作をする等の機能
ワームとの違いとして、ワームは単独で活動できるのに対し、ウイルスは活動するためにPC等の寄生主が必要となります。
ファイル感染ウイルス
「ファイル感染型」とは、拡張子COM、EXEなどの実行型ファイルに感染するウイルスです。ウイルス単体でプログラムを実行したり複製するのではなく、EXEやCOM等の実行型ファイルに付着して制御を奪い、プログラムを書き換えて感染増殖します。
プログラムの先頭や末尾に付着するもの、両部分に付着するもの、ファイル内の使用されていない部分にウイルスコードを書き込むもの、完全に上書きしてしまうものなどがあります。
ブートセクター感染ウイルス
パソコンのMBR(マスターブートレコード)やブートセクタと呼ばれる領域に感染するウイルスです。このウイルスに感染したパソコンを立ち上げると感染します。
システム感染ウイルス
「システム領域感染型」とは、ハードディスクやフロッピーディスクのシステム領域(ブートセクタ、パーティションテーブル)に感染するウイルスのこと。MS-DOSのメモリ管理を利用するため、Windows NT/2000/XP/Server 2003 などのOSでは活動の危険性は低いが、以前に作成したフロッピーディスクなどに潜んでいる場合があるため注意が必要になります。
コンパニオンウイルス
プログラムの実行規則(優先順位)を利用して、実際に存在している正規のファイルと同じ名前のファイルを作成し、正規ファイルより実行階層が上位の拡張子を付与することで感染するウイルスのこと。スポーニング型(spawning)とも呼ばれます。
ターゲットとなるファイル名が「A.EXE」というファイル名だった場合、ウイルスを「A.COM」とした場合、「A.COM」が「A.EXE」よりも前に実行されます。この場合、ウイルスが実行された後に正規の「A.EXE」も起動するため、ウイルスを実行したことに気づきづらいという特徴があります。
マクロウイルス
MS Word、MS Excelやその文書ファイル、表計算ファイルに感染するウイルスです。
スクリプトウイルス
一般的に「スクリプト言語」と呼ばれるプログラミング言語で記述された不正プログラムを「スクリプトウイルス」と呼びます。
https://www.ipa.go.jp/security/fy12/contents/virus/report/script-rep.PDF
ワーム
ワームはネットワークを介して自分のコピーを拡散する機能を持ったプログラムのことです。
トロイの木馬
トロイの木馬は無害なアプリケーションを装いつつ、バックドアの構築やウイルスのダウンロードを行うタイプのマルウェアです。トロイの木馬は、これまで多くのサイバー犯罪に使われており、たくさんの亜種が登場しています。
ダウンローダー型
侵入が成功すると、他の有害なマルウェアをダウンロードするマルウェアです。
クリッカー型
特定のサイトに勝手にアクセスさせるマルウェアです。自動でブラウザを起動したり、ブラウザの管理設定を変更し、アクセスを強要します。
バックドア型
管理者に気が付かれないようにポートを開き、攻撃者が遠隔操作を実行させます。内部の情報を流出させたり、犯罪行為の実行役に装います。
パスワード窃盗型
保存されているパスワードや設定情報を外部に漏洩させてしまうマルウェアです。
プロキシ型
ネットワーク設定を変更して、IPアドレスを不正利用するマルウェアです。詐欺や不正アクセスの犯罪者に仕立て上げられる可能性があります。
ドロッパー型
侵入後に不正な情報をプログラムにドロップするマルウェアです。ダウンローダー型と似ていますが、こちらは内部に不正な情報が格納されている点で相違します。
迷彩型ゼウス
JPEG画像等に偽装したマルウェアです。有効な画像情報とヘッダ情報で偽装しながら、付加情報にマルウェアが仕込まれています。
ボット
ボットとは、コンピュータを外部から遠隔操作するためのバックドア型不正プログラムです。ボットネットワークを構成し、C&Cサーバが複数のボットを遠隔操作します。
ゾンビ
ゾンビとは、サイバー攻撃を行う目的で犯罪者に乗っ取られ、密かに組み込まれたプログラムによって遠隔操作が可能な状態になっているPCのことです。
論理爆弾数
論理爆弾は特定のイベントがトリガとなって実行され、実行されるとデータ破壊などの攻撃が行われます。
スパイウェアとアドウェア
スパイウェアは正規のアプリのふりをしてユーザのパソコンに感染し、ユーザーの操作や情報などを記録して外部に送信する不正プログラムです。
アドウェアは無料で使える代わりに広告を表示するソフトです。アドウェアの中には勝手に情報を収集し、外部へ送信するマルウェアのような動きをするものがあります。
ランサムウェア
ランサムとは身代金を意味する言葉です。感染したパソコンのファイルやデータを暗号化することで人質とし、そのデータ復元を条件として金銭を要求します。
また、最近では脅迫文を表示しないランサムウェアが実行されていたケースもあるようです。これは、攻撃の痕跡を隠滅するためにファイルを暗号化したと推測できます。
ファイルレスマルウェア
ファイルレスマルウェアは、従来のマルウェアとは異なり、標的にしたマシンにソフトウェアをインストールしませんが、代わりにWindowsに組み込まれているツールを攻撃に使用します。特にPowerShellとWindows Management Instrumentation(WMI)などを使用して、他のマシンに展開するなどの悪意のある活動を行います。
https://www.cybereason.co.jp/blog/malware/2094/
マイニングマルウェア
マイニングマルウェアには2種類あります。1つは、Coinhiveの様にWebページを見に来た端末のリソースを使ってマイニングを行うもの、もう一つは、感染した端末のリソースを使ってマイニングを行うものです。
