ウイルス
Virus
09年は近年稀に見る・・・というよりも空前のウイルス当たり年になりそうだ。
あらゆる統計数字がそれを示唆している。
過去にウイルスの当たり年といえば2003年末から2004年、2005年にかけて、MSBlasterとかSasserとかが大流行した年があったが、最近の各社のウイルス定義ファイルの更新ぶりを見ていると、もうこの2004年なんか問題にならないくらいの更新頻度になっている。
この1〜2年はウイルスは落ち着いてきていたので、この問題は神経質にならなければ大問題ではないという空気がやや醸し出されていた。
ところが比較的のんびりしていたノートンのアンチウイルスのウイルス定義ファイルの更新も最近は必ず一日に1回以上あるようになってきた。
MacやLinuxで愛用しているclamavのウイルス定義は2〜3年前には1万種類程度のウイルスを登録していた。
しかし今では登録されたウイルスの種類は60万を越え、週に5000から7000、一日に1000種類もの新種のウイルス定義を追加している。
1万なんて十日で超えてしまうようなスピードになってきた。
「巷ではあまり騒ぎになっていないではないか」
という向きもあるかもしれないが、先月(09年7月)にお隣の韓国でネットが落ちる騒ぎがあったばかりだ。
これも個人のパソコンに感染したボットによる大規模なDDoS攻撃が原因だったということだ。
最近わけあって各企業のネットワーク責任者、セキュリティ担当などに話を聞きにいく機会が多いのだが、どこの企業でも数年前とは比べ物にならないくらい深い悩みを抱えているということを実感している。
この「なんちゃって辞典」を書き始めた2003年もウイルスは話題になっていたが、当時と今では深刻度が全く違う気がする。
今から思えば6年前はまだ長閑な日々だった。
今はどこの企業もネットワーク化が進み、大抵の個人宅もブロードバンドでWANに常時接続している。
はるかにネットワーク化が進んでいるので、ひとたびパンデミックが起きたらその影響は6年前よりも今の方がはるかに大規模になるし深刻だと思う。
しかし最近これまたにわかセキュリティ担当みたいなことをやらされてしみじみ思っていることは、コンピュータに関心を持っている人と、そうでない人の理解度の差はむしろ数年前よりも広がってきている気がするということだ。
そもそもウイルスって一体何なんだろうか?
「ばい菌みたいなものです」
というのでは何も説明したことにならない。
しかし
「その正体はコンピュータ上で動作するコマンドを記述したスクリプトだ」
というようなよくある無味乾燥な説明でも、その正体を見失う。
この記事のタイトルもここまでの表現もザクッと「ウイルス」と書いているが正確には
コンピュータウイルス
というのが正しいかもしれない。
生物に感染するウイルスとは根本的に別のものだから、区別した表現をするのが望ましいはずだ。
ところが最近新型インフルエンザの流行などの事象もたまたまタイミング的に重なって、生物ウイルスとコンピュータウイルスは常にイメージがだぶっている。
実はこのコンピュータマルウエア(有害なソフト)を生物的なウイルスに喩えた比喩は想像以上に的を射ているのだが、かといって似ているがために混同されて混乱を招いている部分もある。
実際のところウイルスって何なのか、ちょっと今までの用語解説とは違った説明の仕方を試みてみる。
まずは型通りの用語解説をするなら、
ウイルス(Virus)
ワーム(Worm)
ボット(Bot)
マクロ(Macro Virus)
トロイの木馬(Trojan Horse)
マルウエア(Malware)
というような用語がよく聞かれる。
これらにはそれぞれ厳密な区別がある。
例えば、寄生する先のコンピュータシステムの実行環境に入り込んで、そこの実行機能を利用して悪さをしたり自己複製をあちこちにコピーしたりするマルウエア(有害ソフト)のうち、元々あるファイルに寄生するものをウイルスという。
それに対してそれ自体がアプリケーションのように何かを実行する能力を備え寄生するファイルなしに自己複製ができるものをワームと呼ぶ。
この区別は「細菌」と「生物ウイルス」の区別と似ている。
細菌は必要な栄養素が充満した培地であれば、自分でその栄養を取込んで自分の体の構成物に再構成し、分裂して自己増殖することができる。
細菌はそれ自体がひとつの細胞になっていて、こうした栄養を消化して増殖するのに必要な機能を全て自分の中に持っている。
しかしインフルエンザやエイズなどの病原体のウイルスはこの細菌とは全く違う構造を持っている。
その構造はDNA(あるいはRNA)がとぐろを巻いた遺伝子が剥き出しでタンパク質の殻に入っているというそれだけの仕組みになっている。
その構造は細胞よりもはるかに単純で厳密には生物ともいえないような物質と生物の中間のようなシロ物だ。
培地にいくら豊富に栄養があっても、その栄養を自分で取込むこともできない。
自分で自分の複製を作ることもできないし、それどころか自分の繁殖できる環境に自分で移動することもできない。
ウイルスというものは宿主の生物を見つけると、その細胞に自分の殻の中のDNA(あるいはRNA)を直接打ち込むというそれだけの構造になっている。
他にはどういう種類の機能もない、完全に生物としての機能が退化した「物体」だ。
その宿主の細胞に打ち込まれたDNA(あるいはRNA)は、宿主の細胞の繁殖能力を利用して、宿主の細胞質をそのまま利用して自分の複製を増やしていく。
やがて宿主細胞を破壊して、タンパクの殻に入ったDNA(あるいはRNA)という最初の姿と同じ分身を周囲に大量にバラまく。
これが生物ウイルスの生態だ。
生物ウイルスの典型「バクテリオファージ」の構造(英文Wikipediaより)
正20面体の「頭」の中にDNAのトグロを格納し「足」のように見える繊維で
バクテリアに取り付くとDNAを注射器のように打ち込む
とても生物には見えない機械的な姿をしている
この対比がコンピュータウイルスとワームに似ている。
コンピュータウイルスも単純なコマンドを記述したテキストであり、それは宿主が利用するdllやexeなどのファイルに上書きされる形で寄生し、やがて自分の分身をコンピュータの内部深くにバラまいてゆく。
ワームと呼ばれるマルウエアは、最初からアプリケーションのようなスタイルで放流されるので、寄生するファイルを必要としない。
実行できる環境を自分で見つけて入り込み、そこを足がかりにさらに繁殖できる環境を探しはじめる。
最近流行のAutorunなどはこのワームのうちに入る。
一般の人が持つイメージ以上に「ウイルス」というのは卓越した譬えだというのはそういう意味だ。
しかし似ているがために間違ったイメージが蔓延している点もある。
生物ウイルスは非常に小さい。
一般にその大きさは、10〜100ナノメーターで肉眼では勿論通常の光学式顕微鏡でも見ることはできない。
それを視覚化するのは電子顕微鏡の力を借りないといけない。
一般的にウイルスは飛沫感染の他に空気感染などもするが、これが細菌性の病気とは全く違う。
患者や汚染物質に直接触れなくても、患者と同じ空気を吸っただけでも感染することがある。
今年の新型インフルエンザパニックで、日本人が全員マスクをして、せっせとうがいに励んでいる姿は世界中の失笑を買った。
インフルエンザは空気感染なのでうがいや手洗いは全く意味がない。マスクもほぼ無意味だ。
これらの対策は一般的な風邪に対しては有効なので、やらないよりはいいのかもしれないがウイルス対策でマスクをしているのはナンセンスだ。
これと同じようにコンピュータウイルスもあたかも空気感染でもするかのような、汚染パソコンに触れた人間を隔離でもしかねないような雰囲気になっている職場もあるが、これは勘違いが元になっている。
コンピュータウイルスは目に見えないほど小さいわけではなく、むしろ大抵の場合は見えている。
コンピュータウイルスの実体はファイルであり、多くの場合はコマンドを記述したテキストだ。
そのサイズも数十キロバイトから数メガバイトと普通のテキストファイルと同じようなサイズだ。
不可視属性を設定してあるファイルも多くあるが、システムで「不可視ファイルが見える設定」にしておけば、ちゃんと見える。
勿論空気といっしょに感染したりはしない。
ケーブルを繋ぐなり、USBメモリやメモリカードなどを挿したりしない限り感染はしない。
セキュリティに関するよく言われるジョークとして
「繋がっていないネットワークは絶対クラックされない、電源が入っていないパソコンは絶対感染しない」
というのがある。
つまり繋ぐから感染するのだ。
もっとも今のパソコンの用途を考えると繋がないわけにはいかないのだが。
こうしたウイルス、ワーム、トロイの木馬などの言葉には厳密な定義があって、ちゃんと区別されている。
ところが最近のマルウエアを見ているとウイルスとボットがセットで活動するとか、ある局面ではウイルス的にふるまい、ある局面ではワーム的にふるまい、その感染経路や目的もトロイの木馬的であったりとだんだんその構成や性質は複合的になってきている。
情報科学的にはこれらの用語の定義を厳密にすることは意味があるのかもしれないが、実務的にはもうこれらのものは皆いっしょだと言ってもいいのかもしれない。
むしろ「純粋なウイルス」なんてものの方が珍しくなりつつあるのかもしれない。
コンピュータの世界を生物や人間の生態、社会性に喩える比喩は結構ある。
コンピュータの命令セットに仕事をさせるコマンド体系を「言語」に喩えたのは秀逸なネーミングだし、冗長性を生物多様性にたとえる人もいる。
だからマルウエアを「ウイルス」に喩えたのも秀逸な比喩だといいたいところだが、実はこれは順序が逆だ。
コンピュータウイルスという概念を始めて、「ウイルス」という言葉で表現したのは1972年のデイヴィッド・ジェロルドの 「H・A・R・L・I・E 」という小説だった。
ここでは「ウイルス」というコンピュータを浸食するプログラムとその「ウイルス」を攻撃する「ワクチン」プログラムという概念が登場する。
今聞くと別に驚きもない当たり前の概念だが、1972年という年を考えてほしい。
1972年はインターネットの元になったアーパネット実験が始まってまだ3年目、UNIXが産まれて2年目、MacもWindowsもこの世に存在していなくて、コンピュータといえば研究室の真ん中でドンッと鎮座しているロッカーみたいな形をしていた時代だ。
1インチのテープがぐるぐる回って、パンチカードを吐き出したりしていた。
ミニコンとか言っていたコンピュータだって、やっとロッカー1個分の大きさに「小型化された」という時代だ。
当時のコンピュータは人間がつきっきりでコマンドプログラムを、ビジネスフォームカードなどでせっせと入力してやらないと動かないシロ物だった。
だからこのジェロルドの「ウイルス」プログラムと「ワクチン」プログラムは、コンピュータのことをよく知っている人達の受け止め方は「荒唐無稽」の一言だった。
SF小説としては面白い設定だが、実際のコンピュータで自己増殖する「ウイルス」プログラムなどというのは不可能だし、ましてやそのウイルスを自律的に攻撃する「ワクチン」なんて「話にならない」という感覚だったのではないだろうか。
ところがコンピュータやITの世界というのは常にそういうものなのだが、こういう既成概念を専門家でも何でもないシロウトのマニアが打ち破ってしまった。
この小説からわずか10年後の1982年にピッツバーグの高校生が作った「Elk Cloner」という「ウイルス」は当時人気があったApple IIに実際に感染した。
「ワクチン」プログラムに当たる初のアンチウイルスソフトも1987年に開発された。
「荒唐無稽」と思われていた「ウイルス」と「ワクチン」は、SF小説初登場からわずか15年で現実の話になった。
「Elk Cloner」に感染したマイコンが表示したメッセージ画面
これはシステムフロッピーディスクを媒介に感染するウイルスで
シンプルだがウイルスと定義される要件を最初に満たしたマルウエアだと言える
そこから後はコンピュータとウイルスの「転落の歴史」が始まる。
1992年には「Michelangelo」というウイルスが登場した。
このウイルスの画期的な点は、それまでの「感染者をびっくりさせる」なんていう他愛もないウイルスと違って、感染者の内部データを実際に一斉に破壊した。
初めて「コンピュータウイルスは実害を及ぼす可能性がある」ということを証明してみせたウイルスだった。
1995年にはもうWordのドキュメントに感染するマクロウイルスが登場する。
Windows95が人気を博し、そこで使われる標準的なワープロソフトをターゲットにしたウイルスが現れることで、ウイルスは単に感染のコンセプトモデルではなく現実に、流行する可能性があることが証明された。
そして1999年には電子メール添付ファイルによって感染する初のウイルスMelissaが現れることで、このマクロウイルスの感染がインターネットという新しいメディアを通じて世界中を駆け巡るという脅威が現実のものになってきた。
2001年にはメールなんぞに依存しないで、ウェブサイトを閲覧するだけで感染するNimdaが現れて、ネット環境ではあらゆるレイヤーがウイルスの媒介になりうることが明らかになってくる。
2003年のMSBlasterは、もっと大きな脅威が存在することを思い知らせてくれた。
もはやメールもwebサイトも感染の媒介としては必要ない、インターネットやLANなどのネットワークが繋がっているだけで自動的に感染することができるMSBlasterは、ネットワーク社会の恐怖が存在することを証明してくれた・・・はずだった。
これは以前本体の記事でも取り上げた図でJPCertの感染時例報告の集計
JPCertは今年の6月22日に出した報告書で文字通り「パンデミック」を警告
流行の急増は07年の夏に始まり一時期終息しかけていたが再び増加傾向にある
最近の流行の急増はAutorun系のウイルスの亜種の爆発的な増加が要因でケタ違いの増加ぶりだ
IPAの感染報告数推移から作図
年次を経るごとに感染事故は等比級数的に増えていることはおわかりいただけるだろうか
しかもグラフのトレンド線を見ると今年から来年にかけて爆発的流行が起きることは容易に予想できる
さらにこの感染数は氷山の一角であることはいうまでもない
ところが今日、多くの企業やベンダーはこれらの教訓からあまり多くのことを学んでいるとは言いがたい。
このことは最近にわかセキュリティ担当みたいなことをやらされて、思い知らされている。
企業は企業内のネットワークの安全を保つために、ネットワークを外界から切り離してパソコンの持ち出し、持ち込みを禁止することで安全を確保できるという妄想を持ち始めている。
ネットワークを切ったり偏執的なプロキシルールでhttp以外の通信を禁止して外界から隔離してしまうと、Windowsのアップデートもかけられなくなるし、ウイルス定義ファイルの更新も困難になってくる。
「そういうものは検疫サーバで自動的にヤルから問題ないのだ」
なんて幼児的なルールで自己満足しているネットワーク管理者が多いのも驚く。
企業内のコンピュータがすべてWindowsXPのクライアントで統一できて、それ以外の仕様を一切禁止することができるならそれでいいのだが、実際の業務には専用機、ワークステーション、ミドルウエアのクライアントなどいろいろな動作条件の機械を使わざるを得ない。
そんなものが一切必要ない、事務屋ばっかりの会社ならいいかもしれないが大抵の会社にはその会社の専門分野に直結している専用機を使わなくてはいけない分野が存在する。
そうした専用機も同じルールで隔離してしまうから、ウイルス対策ソフトも入っていない、Windowsアップデートもかかっていない危険なネットワークというのがどうしても企業のネットワークの中心にできてしまう。
いわゆる「無菌室」というやつだ。
ところが件の無邪気なネットワーク管理者は
「隔離されているから危険はない筈だ」
とまた輪をかけて無邪気な判断をしてしまう。
ベンダーも無邪気な連中が多いから
「お客が隔離するといっているのだからウイルス対策なんか必要ないだろう」
という超楽観的な見込みでシステムを構成してしまう。
ところが外界から全く隔離された専用システムなんぞ実際には役に立たない。
ユーザがこっそりUSBメモリをそこに挿して、大規模な感染事故が起きてしまう・・・
こうした「合成の誤謬」が最近のウイルスのトレンドであるAutorunなどの感染被害を大きくしてしまった。
このことは多くのことを示唆している。
例えば今回のAutorun騒ぎの被害者の多くは企業であって、個人はそんなに被害にあっていないという特徴がそれを表している。
Autorunというのは本来はWindows独特の自動機能のことで、USBメモリやCD、DVDなどをドライブに挿入してマウントすると自動的にその中味を再生し始めるという機能を指す。
Macなどはシステム環境設定でボリュームをマウントしたときの振る舞いを設定するが、Windowsではそのボリュームの最初の階層に入っている
AUTORUN.INF
というファイル名のテキストに書かれたコマンドのとおりの振る舞いをするというルールになっている。
この
AUTORUN.INF
に「6q.exeというファイルを開け」と書いてあるとそのとおりのことを実行する仕組みになっている。
そしてこの「6q.exe」という名称のウイルス実体ファイルをそこにおいておけば、USBメモリを挿入した瞬間にめでたく感染ということになる。
(自動マウントする設定にしていなければ感染しないという反論をした人がいたが、挿しただけでは確かに感染しないがUSBメモリを利用しようとすると結局マウントしないと使えない。そしてマウントすれば結局自動機能で感染する。
ネットに「shiftキーを押しながらドライブアイコンをクリックすれば感染しない」という都市伝説が流れたが、これも間違いだ)
これはWindowsのAutorunウイルスを捕獲した瞬間のスクリーンキャプチャー
Autorunはワームに分類されているがウイルス的な構造と両面をもった巧妙なマルウエアだ
「AUTORUN.INF」「3u.cmd」という2つのファイルがこのワームの実体であり
「AUTORUN.INF」というWindowsの基本的なファイルに化けるあたりがウイルス的だ
このAutorun系のウイルスの巧妙なところがこれ
これは今年春に実際に検出したケースで
まずWindowsのシマンテックアンチウイルスでスキャンすると
「Trojan.packed.NsAnti」というトロイの木馬を駆除するがそれで安全だという判定を出す
ところがMacのClamXavから同じボリュームをスキャンするとAutorunウイルスを検出する
その「Trojan」は言ってみれば「分身」で本体のKavoウイルスを
発見しづらくするデコイのようなものかもしれない
しかもこのウイルスの巧妙な点はWindowsの「システム復元」領域にワームのコピーを隠すことだった
このせいでもしWindowsで検出できてもシマンテックアンチウイルスなどで検疫後再起動すると
結局もとに戻ってウイルスも復活してしまい駆除できなかった
このAUTORUN.INFというファイルをテキストエディタで開くと本体実行ファイルの
「『3u.cmd』を開け」という簡単なコマンドが書いてあるだけだ
WindowsのAUTORUN機能を利用した巧妙な仕組みで
USBメモリなどを開いた瞬間に感染するようになっている
この仕組みは非常にプリミティブなWindowsのセキュリティ的弱点を突いた攻撃で、プリミティブだからかなり前から警告されており、2008年の春に「kavo.exeウイルス」という名称で最初の流行が始まった時には、個人はかなりセキュリティパッチも当てて、AUTORUN機能を殺したりして対策をしていた。
しかし企業ユーザはその麻痺した安全感覚のせいで何ら対策もしておらず、その無菌室も「隔離しているから大丈夫な筈だ」という白痴的な安全妄想のために、被害を大きくしてしまった。
ベンダーも「お客が隔離しているというのだから責任はない」という投げやりな無責任姿勢で何ら適切な対策も助言もしてこなかったために、最初の流行から1年経っても同じ脆弱性を攻撃されて感染例をどんどん増やしている。
しかしこのAUTORUN機能を利用したウイルス感染の手口は、昨年史上初めて現れたものではない。
実は10年前のフロッピーディスクの時代に起きた流行のときの手口と同じだ。
AUTORUNを利用した感染が起きるということは、こういうフロッピーでの感染事故を経験していた個人は知っていた。
Autorunウイルスと呼ばれる前、Kavoウイルスといわれていた頃に個人はAutorun機能を殺すとかの対策をしていた。
しかし、企業もベンダーもこういう世間の事情に疎すぎた。
これがAutorunウイルスの被害が法人の比率が高いということと関連がある。
企業とベンダーはいまだにウイルスについてあまり学んでいないように思う。
今の専用機のネットワークはなぜかファイアウォールをかけないような仕様のものが増えている気がする。
ベンダーは
「ファイアウォールをかけるとマシン負荷が上がって要求スペックを保証できないのでかけないでほしい」
なんてことを平気で言う。
「ネットワーク間にL3スイッチ(大雑把に言えばルータのようなスイッチハブ)を入れるから安全だ」
とのたまうのだが、そこを乗り越えられたら後は防御手段は何もないネットワークを組んで平然としている。
6年前のMSBlaster騒ぎのことをすっかり忘れたのか、それとも本当に知らないのか、それはわからないがなぜか法人ユーザの方が幼児退行が進んでいるような気がする。
(MSBlasterは初期の段階では、それを防げる唯一の対策といえばネットワークだけでなく全てのクライアントPCにもファイアウォールをかけることしかなかった。
ノートンのウイルス定義ファイルをいくら更新しても全く防御にならなかった。
事実WindowsがSP2でデフォルトでファイアウォールをオンの設定にしてからBlasterの亜種の流行は急激に沈静化した。
最近の亜種ウイルスはネットワーク感染型にAutorunの感染力を組み入れたりの組み合わせ型が増えてきている。
だから過去にどういうものが流行したかを知っておくことは絶対に必要な筈だ。
ところがベンダーも企業のセキュリティ担当者もこの「歴史的事実」から何も学んでいない)
またこのAutorunウイルスの流行は、
「シマンテックアンチウイルスをインストールさえしていれば安全だ」
とか無邪気に信じている人達の常識が見事に間違っていることも証明した。
ウイルス対策ソフトをインストールさえしていれば、安全だとか思っているとこのKavo/Autorunのように発見できなかったり駆除できなかったりということがありえる。
今はかなりの精度で検出できるようにウイルス対策ソフトも改善されて来ているが、最初は本当に壊滅的だった。
完全にキレイにするのはかなり専門的な知識が必要だったと思う。
そしてそういう専門的な知識がないと安全が確保できないということもあまり知られていない。
もうひとつ挙げるなら、ウイルスはどうやって作られるかということも結構誤解されている。
例えば
「オープンソースのOSなんかはソースコードが公開されているから、ソースコードを分析されてウイルスにやられるんじゃないか」
なんてことを言う人もいる。
これは大きな勘違いで、オペレーションシステムのソースコードが手に入ったからって、そのOSのウイルスにやられやすい脆弱性なんて簡単に判明するわけではない。
Linuxとかは、世界で数万人のエキスパートが常にソースコードを磨いているわけだが、それでもなかなか簡単に脆弱性なんて見つけられるわけではない。
ましてや誰とも協力しないでハッカーみたいなヤツが、ソースコードをにらめっこをして、簡単にセキュリティホールを見つけるなんてことはできるものではない。
ところがここを勘違いしている人がいて、
「ソースコードがバレているオープンソースは危ないのではないか?」
なんていう素っ頓狂なことを言う人がたまにいる。
これを全くのシロウトが言うのならまだ可愛いのだが、6年前にWindows2000などのソースコードが流出した時にマイクロソフトの担当者がこれをいった時には驚かされた。
この談話はすぐに通信社を通じて世界中に配信されるニュースになった。
そういうことをマイクロソフトの担当者が言うのは一種のFUD(不安を煽って購買行動をコントロールする手法)だったのではないかという気がする。
Windows2000からなかなか離れないユーザに業を煮やしたのではないかという推測が頭をよぎった。
それは邪推かもしれないが、そう思ってしまうくらいそれはあり得ないことなのだ。
断言してもいいと思うが、その流出したソースコードを解析して作られたウイルスなど一つもない。
なぜならウイルスを作るのにソースコードを解析するなんてそんな手間のかかることをしなくてもいいのだ。
毎月マイクロソフトのホームページを見に行って、そこで発表されている
「今月のWindowsの脆弱性」
の記事をよく読んで、その脆弱性を攻撃する手法を考えてそのコマンドをスクリプトにまとめればいい。
数百万行ものソースコードなんて、一行も読む必要はない。
大体ウイルス作者がそんな手間をかけるとも思えない。
そんなヒマなことをしなくてもいくらでも攻撃すべき脆弱性はあるからだ。
オープンソースなんか狙わないのもそういう理由だ。
Linuxなんか狙ったところで、Linuxとかは大抵ソフトウエアアップデートで脆弱性のパッチがすぐ出てしまい、それが全ユーザに配布されてしまう。
それよりもWindowsユーザを狙った方が、個人はきちんとWindowsUpdateをかけていても、上記のように企業ユーザは油断して「無菌室」なんかを作ってタカをくくっているから、企業を狙ってWindows向けのウイルスを作るヤツの方が多いのは、想像にかたくない。
よく
「Windowsのウイルスが多いのはWindowsのシェアが多いからだ」
なんてことを言う人もいて、これが結構「パソコンに詳しい」と自称しているヤツにもこういう珍説を吹聴するのがいるのだが、これも見当違いだということが判るだろう。
Windowsのシェアが多いのはクライアントPCという特殊な世界だけの話で、それ以外の世界では全くマイノリティだ。
それにWindowsのウイルスが多いのは攻撃すべき未解決の脆弱性も多く、しかも企業ユーザやベンダーは油断しまくっているという現実があるからだ。
これが正しい理由でシェアなど関係ない。
(例えばAutorun機能なんてのは10年前のフロッピーウイルスの流行の時に捨ててしまえば良かったのだ。しかし今でもWindowsデフォではこの機能はオンになっている)
マイクロソフトのホームページを見に行けばちゃんとネタは提供してくれる。WindowsUpdateをかけていないユーザが一定の比率でこの世には居る。
これがWindowsのウイルスの数が圧倒的に多い理由だ。
その理由はユーザの要件に起因するものも多いといっていい。
Autorunなんて原始的なウイルスがこんなに猛威を振るったのはそういう理由だ。
マイクロソフトの対応も遅かった。
ウイルスの構造がシンプルだったから、ウイルス実体のありかをごまかす工夫がどんどん追加され捕捉が困難な亜種がどんどん出てきた。
しかも企業ユーザは「隔離しているから安全だ」なんて無邪気な態度で「無菌室」を作っている。
これが昨年からのウイルス流行の大きな原因だ。
もうひとつ多くの人に誤解されている点を挙げる。
最近のウイルスの巧妙さについて話すと
「全くヒマなヤツがいるもんだな。そんなことして何が面白いんだ?」
なんてことを言う人がいる。
この言葉には
「ウイルス作者なんてどうせみんなパソコンヲタクの愉快犯みたいな奴らに違いない」
という思い込みがある。
しかし最近のいくつかの事例を見ていると、それは必ずしも正しくないと思えるのだ。
昔のウイルス作者は確かにそうだった。
世間の人々が困っている姿を見たいという愉快犯のような奴らばっかりだった。
あるいはウイルスを通じてメッセージを世界に伝えたいというような青臭い正義感の子供もいた。
しかし最近のウイルス作者は違う。
ある種のメール感染型ウイルスでバラまかれた「投資儲け話」スパムのおかげて特定の株が急騰したという事例が最近ではある。
あるいは依頼されて特定の企業を攻撃するといういわば「プロフェッショナル」なウイルス作者もいるようだ。
つまり今相手にしているのは昔のような青臭いパソコンヲタクのガキばかりではなく、金をもらってそういうものをバラまいている連中もいるということだ。
これがウイルス定義が加速度的に急増している理由でもある。
ウイルス制作はビジネスになり得るのだ。
勿論非合法のビジネスだが、そういう連中を相手にしているということは心しておいた方がいい。
2009年8月10日
|
|