コンピュータワーム

コンピュータワームの定義

PCワームは、定義上、マルウェアの一種です。最も目立つ特徴は、人の手を借りずに急速に広がる点にあります。一度貴社のPC、スマホ、またはタブレットに侵入すると、自ら増殖するため、最も危険なマルウェアの一つといえます。

‍

コンピュータワームはどのように動作するのか

PCワームは、さまざまな方法で貴社の機器に被害を与えるマルウェアです。中には、自らを複製してストレージやシステムメモリを使い果たし、機器を使用不能にするものもあります。また、ファイルを変更または削除したり、悪質なコードを仕込むものも存在します。さらに、PCワームは急速に広がるため、作成者が副次的な侵入手段を組み込む設計とすることもあります。これにより、不正者が被害PCに容易にアクセスできるようになります。有名な例として、WannaCryワーム（WannaCryptorとも呼ばれる）が挙げられます。

‍

コンピュータワームはウイルスと同じなのか？

コンピュータワームとウイルスの違い

「ウイルス」という用語は、広義にはマルウェア全般を指すことが多いですが、正確ではありません。PCウイルスは、自らを複製・拡散することができず、既存のアプリに悪質なコードを注入して目的を果たす仕組みです。

一方、ワームはウイルスから進化した存在です。生物的な構造としては非常に単純かもしれませんが、自分自身のコピーを作り、環境内を移動するのに必要な機能を備えています。

‍

コンピュータワームとトロイの木馬の違いは？

ワームは、利用者にアプリの実行を促すトロイの木馬など他のマルウェアと異なり、一度PCに定着すると自動的に目的を実行します。

厳密に言えば、これらの区別は基本的なもので、Wallarmでは各用語を正確に使い分けます。なお、多くの人が「感染」という言葉を広く用いるため、ワームをウイルス感染や「ワーム感染」と呼ぶこともあります。重要なのは、ワームは自らを複製し増やす存在であるという点です。

ワームはPCにどのような影響を与えるのか？

ワームは必ずしも直接的な被害をもたらすわけではありません。初期の段階では、セキュリティの脆弱性を突く実験的なコードとして作られ、感染後は密かに自らを複製するだけの場合もありました。通常、PC内に大量のコピーが作られることで、システムの動作に支障が出ると認識されます。

しかし、OSのセキュリティが向上し、ワームを製作するのに多くのリソースが必要となったため、ワームは次第に必要悪となりました。今日では、ワームは単なる増殖以外に、ペイロードと呼ばれる追加の機能も持つことが一般的です。例えば、2004年にインターネット上を駆け巡ったMydoomワームは、副次的な経路を開き、作成者が被害システムを制御できるようにしました。攻撃者は、ワームを足掛かりとして被害機器への全面アクセスを得るのです。

PCワームには様々な種類があり、被害機器に対して多様な攻撃を行います。中にはPCを「ゾンビ」やボットに変え、DDoS攻撃に利用するもの、銀行のログイン情報などの機密金融データを狙うもの、ハードディスクを暗号化し復旧のための支払いを要求するものもあります。

PCワームの感染経路

PCワームはシステムの脆弱性を突くことで、より高速に広がります。一台の機器から隣の機器へと、メールのリンク、不正なURL、またはLANなどさまざまな方法で感染します。以下は、PCワームが広がる代表的な手段です：

1. インターネット: 多くの機器はネットワーク経由でインターネットに接続しており、これはPCワームが拡散するための自然な高速道路となります。一台の機器に感染すると、同じネットワーク内の他の機器へと広がります。
2. メール: 心当たりのないメールにリンクや添付ファイルが含まれていた経験はありませんか。攻撃者はこの手法でマルウェア、つまりワームを送信する場合があります。また、Outlookなどのメールアプリが自動的に感染メールを送信するワームも存在します。
3. ファイル共有サービス: ピアツーピアのファイル共有サイトでダウンロードしたファイルが安全かどうかを判断するのは難しいため、ワームはこうしたサービス上で急速に広がります。
4. メッセージアプリ: メールと同様、インスタントメッセージでも無害なリンクやファイルに偽装したワームが送られることがあります。
5. スマートフォン: スマートフォンは様々なWi‑Fiネットワークに接続するため、ワームの感染経路として適しています。
6. 外部記憶装置: 感染したPCにフラッシュドライブや外付けハードディスクが接続されると、これらも汚染されます。別のPCに接続されると、ワームが広がる可能性があります。
7. インストーラーのダウンロード: ソフトウェアを入手する際、フィッシングサイトによるマルウェア入りのインストーラーに注意が必要です。
8. トレント: 『アベンジャーズ: インフィニティ・ウォー』の海賊版をダウンロードしているつもりでも、実はワームである可能性があります。違法なコンテンツをトレントでダウンロードする場合は、自己責任でVPNを利用してください。
9. IoT機器: スマートホームのデバイスが脅威となる可能性も指摘されています。研究者は、制御環境下で単一のスマート電球を用い、近隣のZigbee対応IoT機器を攻撃する実験を行いました。

‍

各種のPCワーム

メールワーム

メールワームは、メール内のリンクに偽装するPCワームの一種です。スパムメールや、ハッキングされたPCから送信されたメールに紛れ込むことがあります。リンクの末尾が例えば ".mp4.exe" となっている場合、ワームである可能性がありますが、必ずしもそうとは限りません。代表例としてILOVEYOUワームが知られています。

インターネットワーム

インターネットワームは、LAN内で一台の機器から次の機器へと感染を拡大します。まず一台のPCを感染させ、その後、同じネットワークに接続された脆弱なPCへと広がります。

ファイル共有ワーム

名前の通り、ファイル共有ワームは分散型ファイル共有システムから感染します。メディアファイルやソフトのインストーラーだと思ってダウンロードしたものが、実はPCワームである場合もあります。

インスタントメッセージワーム

インスタントメッセージワームは、メールワームと同様に、メッセージやリンクに偽装して通信アプリ上でやり取りされます。『これを見たら驚くよ』や『かわいい子猫だよ』などの文言でユーザーを誘導し、クリックさせてワームをダウンロードさせる危険なタイプです。

‍

世界のPCワームの事例

これまで最も破壊的なマルウェアの一部はPCワームでした。以下に、悪名高いPCワームの代表例を紹介します。

モリスワーム

大学院生のロバート・タッパン・モリスは、1988年11月2日に自作のワームを放ち、PCワームの時代を切り開きました。モリスは自らのワームが大きな被害をもたらすとは考えていなかったものの、その設計上、同一のホストに何度も感染する可能性がありました。

モリスの設計ミスにより、大量のPCが停止し、当時のインターネットの主要部分が使用不能となりました。被害額は数千から数百万ドルに上り、モリスは後に1986年の米国コンピュータ詐欺禁止法の下で起訴されることになりました。

ILOVEYOU

拡散に使われたメールの題名にちなみ名付けられたILOVEYOUワームは、2000年半ばにフィリピンで発生し、急速に世界中に広がりました。モリスワームとは異なり、ILOVEYOUは被害PC上のファイルを無差別に上書きすることを目的とした悪質なワームでした。

感染後、ILOVEYOUはMicrosoft Outlookを通じ、被害者のWindowsアドレス帳に登録された全連絡先に自らのコピーを送信しました。結果として、世界中で数十億ドルの被害が発生し、史上最も悪名高いPCワームの一つとなりました。

SQL Slammer

2003年のSQL Slammerは、猛烈な速さで広がる大規模なインターネットワームで、わずか10分で約75,000台のPCに感染しました。ILOVEYOUやStorm Worm、Nimdaといったメールを利用する手法を避け、MicrosoftのWindows 2000向けSQL Serverに存在する脆弱性を狙いました。

SQL Slammerはランダムに共有IPアドレスを生成し、そのアドレスのPCに自らのコピーを送信して感染させました。対象のPCがパッチ未適用の脆弱なSQL Serverを稼働していれば、SQL Slammerは侵入し動作を開始します。感染したPCはボットネットに組み込まれ、さらにDDoS攻撃の足として利用されました。また、該当するセキュリティパッチは2002年頃から提供されていたにもかかわらず、SQL Slammerは2016年や2017年にも再び出現しました。

WannaCry

WannaCryは、現代のセキュリティ対策があっても、ワームがどれほど破壊的になり得るかを示す例です。2017年のWannaCryワームはランサムウェアの一種でもあり、被害者のファイルを暗号化し、解除のための支払いを要求しました。わずか1日で、WannaCryは150か国、230,000台のPCに感染し、英国国民保健サービスやその他の政府機関、学校、民間企業などの注目すべきターゲットにも被害をもたらしました。

WannaCryはEternalBlueエクスプロイトを利用し、Windows 8以前のバージョンにある脆弱性を狙いました。脆弱なPCを見つけると自らを注入し、ファイルの暗号化を開始、その後、処理完了後に支払い要求のメッセージを表示しました。

‍

PCワームの兆候を見つけるには？

PCワームが貴社の機器に潜んでいる可能性を示す兆候はいくつか存在します。ワームは裏で動作しているため、直接的な悪意がなくてもシステムに異常が現れることがあります。以下のサインに注意してください：

• PCの動作が遅くなったりフリーズしたりする：有名なモリスワームのように、ワームがPCのリソースを大量に消費すると、通常の動作に支障が出ます。急にPCが重くなったりクラッシュする場合、ワーム感染が疑われます。
• ストレージが不足している：ワームが増殖する際、自身のコピーを保存するために容量を消費します。普段より空き容量が少ない場合、何が容量を占めているか確認してください。ワームの可能性があります。
• PCの動作がおかしい：ワームは直接の通信回路を利用して広がるため、自分が送っていないメールやメッセージが送られていないか、また、予期しない警告やファイルの変化がないか確認しましょう。
• 連絡先から何かと尋ねられる：上記の兆候に気づかなくても、万が一メールやメッセージでワームが送信されていれば、連絡先からその内容について問い合わせがあるかもしれません。感染が広がっていても、対策を講じる時期に遅すぎることはありません。
• PCからワームを完全に除去する方法
• もしワームが存在する場合、次に何をすべきか
• 感染した機器を切り離す：まず、感染が疑われる機器をネットワークから切り離してください。LAN経由でワームが広がる可能性があります。
• 感染の広がりを確認する：次に、他の機器をウイルス対策ソフトで確認し、ワームが感染していないか調べてください。感染が確認された場合、全ての感染機器を切り離し、上記の手順を実施しましょう。
• ワームを除去する：多くのウイルス対策ツールは、PCワームを自動的に検出し、隔離または削除することができます。
• 必要であれば、専用のワーム駆除ツールを使用する：一部のワームは頑固な場合があります。ウイルス対策ソフトで除去できない場合は、感染しているワームの種類に合わせた駆除ツールをオンラインで探してください。

PCワームの予防策

PCワームに関しては、予防が最善の策です。以下に、PCワームから守るためのポイントを示します：

• 不審なメールのリンクや添付ファイルは注意する：不明な送信元からのメールに含まれるリンクや添付ファイルは開かないようにしましょう。フィッシングやマルウェア拡散の可能性があるため、疑わしい場合はウイルス対策ソフトで確認してください。
• 閲覧中にポップアップ広告をクリックしない：PCワームは正規サイトにアドウェアを挿入し、感染の足掛かりを作る場合があります。『当選しました』や『PCが感染しています』といった広告には注意が必要です。
• トレント利用時はVPNを活用する：不明なソースからのファイルダウンロードの際、共有サービスは避け、必要な場合はVPNを利用してください。
• ソフトウェアは定期的に更新する：OSやアプリを最新の状態に保つことで、脆弱性を解消できます。可能であれば、自動更新を有効にしましょう。
• パスワードを見直す：特にルーターなどで初期設定のパスワードを使用しないようにしましょう。一部のワームは、既定の認証情報を利用して感染するため、強度テストやパスワードガイドを参考に、より安全なパスワードに変更してください。
• ファイルを守る：重要なファイルは暗号化し、機密情報を保護するとともに、万一マルウェア感染が発生しても被害を最小限に抑えられるようにしましょう。