自然界のウイルスと同様に、他のプログラムに「寄生」して 「感染」を広げる機能を持つものが狭義のウイルスです。最近では、ウイルスに代えてマルウェアという専門用語もよく使われるようになりました。悪意のある（＝マリシャス）ソフトウェアという意味です。背景には狭義のウイルスが減り、多種多様な手口が生まれている状況があります。
ソースネクストでは、特に支障がない限り、悪意のあるプログラムの総称の意味で、ウイルスという言葉を使っています。私たち日本人の多くは「マル」と聞くと「○」を連想し、凶悪な印象が希薄だからです。 なお、狭義のウイルスは減ってはいるものの、なくなったわけではありません。

自己を複製して拡散する機能を持つものがワームと呼ばれます。広がり方として多いのは、ネットワークでつながっているコンピュータの脆弱性を悪用して他のコンピュータに感染していくパターンです。 2003年に「Blaster」、翌年に「Sasser」が猛威を振るい、当時のWindows 2000やXPで、対策をしていないPCはインターネットに接続するだけで感染しました。「無防備にインターネットに接続するとウイルスに感染する」と言われるようになったのはそのためです。メールやUSBメモリを経由して拡散するものもあります。
現在はPCもネットワークも当時に比較して格段に安全になり、ワームの大流行は減りましたが、それでも2017年には「WannaCry」が世界中で問題となりました。原因はWindowsのセキュリティ修正プログラムを更新していないPCが多いためです。

以前は、有用なソフトウェアと思わせてインストールさせ、侵入後、裏で悪事を働くものを指していました。ギリシャ神話の大きな木馬に人を潜ませて、敵地に侵入したエピソードにちなむ呼称です。今では、狭義のウイルスのようにプログラムに寄生せず、ワームのように自己複製もせず、単独で動作するものを「トロイの木馬」と分類することが多くなっています。そうした区分けよりも焦点となるのはどんな悪事、どんな役割をするのかです。

ユーザーに気づかれないように情報を盗み、外部に送信する機能を持つものがスパイウェアです。日本では2004年頃から口座番号やクレジットカードなどの情報を狙うウイルスが多く見られるようになり、スパイウェアという言葉が生まれました。一時、ウイルス対策ソフトとは別に スパイウェア専用の防止ソフトも出ましたが、今では両方を検知する製品が主流です。 スパイウェアは、ウイルスの目的で区分けする呼称として用いられます。例えば、次に紹介するキーロガーはスパイウェアの 1種として分類されています。

キーボードの入力を常時監視して、その内容を外部に送信するものをキーロガーと呼びます。IDやパスワードなどの情報詐取が目的です。キーロガーがキーボードの入力を監視する方法は２つあり、1つはOSに情報としてインプットされるキーボードの入力処理を監視し、どのキーが入力されたか順番に記録して外部に送信します。例えば「きーろがー」と入力すると「ki-roga-」と記録され、EnterキーやSpaceキーも、それらを押したという情報が送信されます。犯罪者はそれらを元にIDやパスワードを推測します。もう1つはブラウザに潜むタイプで、ブラウザ上で入力した キーの情報が外部に送信されます。キーロガーの感染経路は、脆弱性の悪用をはじめ、メールの添付ファイル、正規のソフトウェアと勘違いさせてインストールさせるなどさまざまです。

頻繁にアド（広告）を表示したり、ブラウザのホーム画面を改変したりして広告を表示するプログラムです。無料でソフトウェアを提供する代わりに広告を表示する 本来の意味でのアドウェアもありますが、近年は多くが度を越した頻度で広告を表示したり、ユーザーの情報を収集したりするため、ウイルスの一種と見なすことが普通になっています。webページの閲覧中に「感染しています」という警告を出し、案内に沿ってインストールさせたり、フリーソフトと一緒に入り込むケースが多く見られます。 スマホのウイルスとしてはアドウェアが最も多く検出されます。

犯罪者が攻撃対象のPCに常にアクセスできるようにするためのさまざまなプログラムの一式を「ルートキット」と呼びます。脆弱性を突いて侵入したり、他のプログラムと一緒にインストールされたり、メールの添付ファイルを実行して感染したりと経路は多様です。ルートキットは一旦入り込むとOSの深い所に潜んで、自らの痕跡を隠したり、OSが管理するファイルの改変権限を書き換えて、PC内に潜み続け、感染していること自体が分からないことも多く、そのPCを信用できなくなります。ウイルス対策ソフトでの検出や駆除が難しいこともあり、多くの場合、OSの再インストールしか手立てがなくなります。こうした場合に備える対策としては、短時間で簡単に復旧できるシステム・バックアップを導入しておくことです。

悪の連携攻撃の最初に使われるのがエクスプロイトです。脆弱性を悪用して攻撃するプログラムです。例えば「webページを閲覧しただけで感染してしまう」といったサイバー攻撃の場合、webサイト閲覧中のOSやブラウザなどの脆弱性を突いてエクスプロイトを実行し、後に述べるダウンローダー、ドロッパー、バックドア、ボットなどのウイルスを送り込みます。企業などへの攻撃の際も、脆弱性を探し、 その脆弱性に合うエクスプロイトを用いて侵入するケースが多く見られます。「エクスプロイトキット」と呼ばれる、さまざまなエクスプロイトを集めたツールが存在するほどに、サイバー攻撃の糸口として定着しています。

一般的な用語としての「ダウンローダー」はwebサイトからコンテンツをダウンロードするソフトウェアですが、ウイルスの一種としては、他のウイルスをダウンロードするようなウイルスを指します。ダウンローダー自体が何か悪さをするのではなく、他のウイルスをパソコンに呼び込むだけです。犯罪者にとっては、機能を単にダウンロードだけにしてウイルスとして検知されにくく、目的に応じてさまざまなウイルスに感染させることができるという目論見があります。

PC内に侵入した後に、他のウイルスを呼び込む機能を持つものをドロッパーと言い、前述のダウンローダーが他のウイルスをインターネットからダウンロードするのに対し、ドロッパーは多くの場合、自身の中に他のウイルスを含みます。中に含まれるウイルスは、ウイルス対策ソフトに検知されにくいよう暗号化されていたり、難読化されていたりしますが、それを複合して有効化してPC内に落とすのがドロッパーです。

攻撃者が侵入したPCに、後からアクセスするための裏口（バックドア）を仕掛けるものをバックドアと言います。PCやサーバーのOS、ミドルウェアのコマンドやツールを悪用する場合と、専用に開発されたものを用いる場合があります。前者は、例えばサーバーにはメンテナンスのために外部から安全に接続するためのツールが備わっていますが、そういったものを悪用します。後者の専用に開発されたバックドアには、ファイルを隠すなど感染を気づかせない機能を持つものもあり、発見が困難です。いずれも犯罪者は感染したシステムに対してコマンドを実行するだけで自由に接続アクセスして、意のままに操ることができます。感染経路はさまざまですが、最初に何かのウイルスに感染したり侵入されたりした直後に、バックドアがダウンロードされるケースが多く見られます。

外部の攻撃者からの遠隔操作でさまざまな命令を実行するものを「ボット」と呼び、ロボットが語源です。感染したPCから情報を盗み出すこともありますが、ボットの事例でよくあるのは、バックドアを通じてボットを送り込み、特定のサーバーに一斉に負荷をかけてシステムを停止させるDDoS攻撃です。攻撃者は自ら大量のPCやネットワークを用意しなくても、数百～数万台のPCをボットに感染させ、思いのままに攻撃を実行できます。ボットに感染した大量のマシン経由の攻撃は、どこからの攻撃かがわかりにくいのも特徴です。ボットに感染した被害者は、操られて加害者にもなるため、最新のOSでウイルス対策ソフトを常に最新の状態で使うなどの基本的な対策をキチンと取ることが求められます。

「不正送金ウイルス」や「バンキングトロジャン」とも呼ばれ、ネットバンキングに関連した情報を詐取するウイルスです。感染すると、正規のネットバンクにアクセスした際に入力した情報を犯罪者に送信され、その情報を悪用して犯罪者が被害者の口座から無断で不正送金します。ほかに利用者が送金する際に、ウイルスが裏側で送金先の情報を書き換える手口もあります。画面には正しい情報が表示されているのに、犯罪者の指定した口座に送金されます。ネットバンクに限らず、クレジットカード情報を盗みだすタイプも確認されています。バンキングマルウェアは2006年頃から登場し、不正対策が取られるごとにますます巧妙化しています。日本では「「DreamBot(Ursnif/Gozi)」というバンキングマルウェアが有名です。ウイルスだけでなく金融機関などを騙るメールから偽のサイトへ誘導するフィッシング詐欺も多く発生。いずれも直接的な金銭搾取を目的にする犯罪が増えているので注意が必要です。

PC内のデータを暗号化したり、ロックしたりして、解除するための身代金を要求するもので、身代金ウイルスとも呼ばれます。身代金を意味する「ransom」と「software」を組み合わせた造語です。2013年頃から米国を中心に流行するようになり、日本では2015年頃から話題になりました。多くの場合、身代金として要求されるのは、犯罪者が自分の存在を隠しやすいビットコインなどの暗号資産です。身代金を支払っても暗号化したデータは復旧しないことも多く、根本的な対策としては、日頃のデータバックアップがかかせません。また、ランサムウェアに対抗するために欧州サイバー犯罪センター（Europol）などが中心になって進める「No More Ransom」サイトでは、多くのセキュリティ企業や団体が協力し、どのランサムウェアに感染したのか特定するツールや暗号を解除する復号化ツールなどを公開しています。被害に遭った場合には、手助けとなるかも知れません。同サイトでも、 被害にあっても身代金を支払わないことを勧め、送金は犯罪者に対してランサムウェアが機能したことを証明するだけで、元に戻せる保証はないとしています。

その名の通りファイルとしては見えずに悪さをするウイルスです。従来のウイルスはどんな感染経路をとっても「.exe」「.dll」など、ファイルの形で存在し動作しました。このウイルスはPowerShellというWindowsに元々インストールされているソフトウェアに、悪さをする命令（スクリプト）を読み込ませて実行します。つまり、ファイルとしては正規のソフトウェアであるPowerShellが存在するだけです。命令文はリンクファイルやテキストファイルなどの実行形式ではない形で存在し、対策ソフトで検知されにくい特徴があります。PowerShellのスクリプトとして実行する中には、例えばインターネットから別のウイルスをダウンロードすることもあります。この場合もファイルとしてPCのドライブ上に保存せず、メモリ上に展開するため発見されにくくなります。ファイルレスマルウェアは、現時点では特定の企業などを狙う、標的型攻撃で見られます。

本コンテンツは、ソースネクスト製品のご登録ユーザー向けのメールニュース「サポート通信」の連載記事（2020年8月～10月）を再構成したものです。