ワームウイルスとは|特徴2つ、感染経路4つ、被害7種類、対策方法

  • このエントリーをはてなブックマークに追加

あなたはコンピュータウイルスのように被害を与えるワームについてお調べのことでしょう。

ワームは単独で行動し、自己感染力を持つマルウェアの一種です。

この記事ではワームの特徴と歴代最も多く感染したワーム4種類、更に4つの感染経路と7種類の被害について具体事例を交えて紹介します。最後には対策を紹介します。

多くの方のイメージするコンピュータ ウイルスは、ワームである可能性が高いです。

なぜならば、2000年~2004年に大々的に多くの人のコンピュータに感染して世間を騒がしたのがワームだからです。

必要に応じて以下の項目を参照いただき、セキュリティ リテラシーをさらに高めていただければ大変嬉しいです。

  1. ワームの特徴と最も感染を広げたワーム4種
  2. ワームの4つの感染経路
  3. ワームが行う7種類の被害
  4. 4つのワーム対策

1. ワームの特徴と最も感染を広げたワーム4種

ワームはマルウェアの一種です。特徴としては下の2点があります。

1-1.ワームの特徴2つ

1.自ら複製を作って感染を広げます
自分で自分の複製を作り、他のデバイスに感染していきます。一言で言うと自己増殖します。
2.何かに寄生する必要がなく、単独で存在します
ウイルスのように他のプログラムに寄生する必要がなく、単独で存在します。

この2つの特徴を併せ持ったものがワームと呼ばれています。
マルウェアの中でのワームの位置づけは下の図をご覧ください。
worm01

上の2つの特徴を併せ持っているため、ウイルス、トロイの木馬と比べて感染速度がとても早いワームがあります。

なぜならば、ワームの中にはコンピュータに感染したら、ネットワークを介して、次の感染先を探していき、高速に感染していくものがあるからです。感染方法としては、パソコンに侵入したワームはランダムなIPアドレスにアクセスして、ワームを広げたり、大量のメールを送ってワームの感染を広げていきます。

具体例をあげると、2003年に発生したSLAMMER(スラマー)はインターネット上で広がり始めたときは、8.5秒ごとに感染数を倍にしていきました。

1-2.感染数の歴代トップ5のうち4つがワーム

ワームを語る上では、明記しておきたいことは、過去に最もPCに感染したウイルスの多くはワームということです。
下の表は歴代感染数のトップ5の中のランクインする4つのワームの感染数と被害額です。

最も感染したワームトップ4 (シマンテック調べ)

ワーム名/年代 感染数 被害額
MYDOOM(マイドゥーム)/2004 2,000,000 $380億
SOBIG.F(ソービッグエフ)/2003 2,000,000 $371億
CODE RED(コードレッド)/2000 1,000,000 $260億
SLAMMER(スラマー)/2003 200,000 $12億

2000年、2003年あたりの出現したワームは凄い感染力で、感染するとワームが、高速に次の感染先を見つけていくので、コンピュータが重くなり、ネットワークの多くをワームが占有してしまいました。そのためユーザーは気づきやすかったのです。

上のワームトップ4以外にもBlasterNimdaも多くのコンピュータに感染したワームです。

まとめると感染力も凄いが、あまりにも目立つ行動をするので感染したことが明白でした。

しかし、近年ではマルウェアは感染してもおとなしくコンピュータに潜んで、見つからないようにし、金銭になる情報を盗んだり、犯罪者からの指示を待って広告詐欺、DDos攻撃のようは不正行為を実行するようになっていきました。

言い換えると、昔のワームはパーティーが大好きで大騒ぎをするタイプで、パーティーは比較的短期間で終わります。結果として企業に迷惑をかけては損害を与えていました。

今のマルウェアの傾向は目立たずに引きこもっているが、犯罪者に金銭が入る不正な活動をします。

今のマルウェアは感染に気付くことはほとんどなく、目的の情報を盗んだり、不正行為を実行することが多くなっています。

マルウェアが引き起こす被害が個人に多く波及していることを考えると、今のほうが厄介だと思います。

2. ワームの4つの感染経路

ワームの感染経路で代表的なもの4 つ紹介します。感染経路の大きい順に並べてあります。

2-1.ネットワークを介しての感染

ネットワークにつながっているだけで感染していきます。

ワームがコンピュータに感染すると、ワームはランダムにIPアドレスを作ります。そして、次の感染先のコンピュータを探していきます。そのため比較的、感染速度が早いです。

worm02

具体例を紹介しますと、2013年末に発見されたLinux.Darllozはネットワークを介して広がっていきました。ワームがコンピュータに侵入するとランダムにIPアドレスを作り、次の感染先を探していきます。

アクセスしたコンピュータにプログラミング言語PHPの脆弱性を突く攻撃を行います。コンピュータがPHPの脆弱性の修復パッチを当てていない場合は、悪質なサーバーからワームがダウンロードされ、感染させられます。

そして、さらに次の標的を探しねずみ講式に広がっていきます。

参考記事:組み込みデバイスを標的にするLinux ワーム

2-2. メールからの感染

受信したメールにワームが添付され、それを開くことで感染する感染経路です。

このようなワームに感染すると、さらにワームはコンピュータ内のアドレス帳を探して、見つかったメールアドレスにワームを添付して大量にメール送信します。

worm05

事例を紹介しますと、2003年に発見されたSOBIG.Fは、このようにして200万台のコンピュータに感染しました。感染したコンピュータからあまりに多くのメールが送信されたため、航空会社のシステムが一時的に停止したり、多くの会社のシステムが遅くなる事態が起きました。

実際に送られるメールの件名、本文と添付ファイルは以下のものでした。

件名:
•Re: Details
•Re: Approved
•Re: Re: My details
•Re: Thank you!
•Re: That movie
•Re: Wicked screensaver
•Re: Your application
•Thank you!
•Your details

本文:
•See the attached file for details
•Please see the attached file for details.

添付ファイル:
•your_document.pif
•document_all.pif
•thank_you.pif
•your_details.pif
•details.pif
•document_9446.pif
•application.pif
•wicked_scr.scr
•movie0045.pif

参考記事: W32.Sobig.F@mm

2-3.共有フォルダから感染

ワームに感染したコンピュータがネットワークに接続されている共有フォルダにワームのコピーを置いて、ネットワーク上の他のコンピュータに感染させる手口です。

worm03

実例を紹介しますと、2009年に発見したW32.Changeupが、ファイル共有ネットワークを介して拡散しました。侵入先のコンピュータにつながっている共有フォルダがある場合は、共有フォルダに自分のコピーを置きます。

コピーファイル名はサーチエンジンでよく検索される単語を自分自身につけていきます。例えば人気のある海賊版ソフトウェア、ゲームなどです。

さらに自分のコピーを何万ファイルも作り、容量にして1ギガバイトに達することもあります。

下の画像がW32.Changeupがフォルダに自分のコピーを作ったときの画像で45079もの自分のコピーを作成し、950メガバイトの容量を占有しています。

worm_networkfolder

参考記事:W32.Changeup

2-4.USBメモリーなどの外部ドライブから感染

USBメモリーなどの外部ドライブにワームが潜んで感染していく感染経路です。ワームが侵入したUSBメモリーをコンピュータに差し込むことで感染します。

worm04

具体的には、2009年に発見されたW32.Changeup、2012年に発見されたJava.Cogyekaの感染経路の1つが外部ドライブです。

W32.Changeupは外部ドライブに自分自身のコピー置きます。さらにWindows の自動実行 (AutoRun) 機能を使って、外部ドライブがコンピュータに接続されたときに自動的に実行されるようにします。

参考記事: W32.Changeup

3. ワームが行う7種類の被害

それでは、ワームがどのように侵入するのか知ったところで次は被害について7つ紹介します。
ワームがコンピュータに感染して実行することを紹介します。

3-1.コンピューターを止める

ワームが自分自身を再感染させるために感染したコンピュータから他のコンピュータにアタックをし、コンピュータのプロセスを占有してしまいます。

2001年に発見されたNIMDA(ニムダ)はWebサーバと通常のPCに感染するワームです。PCに感染すると大量にメールを送信し、ネットワークの共有ファイルにも自身のコピーを置きます。

そして、PCのパワーとネットワークの帯域を占有し、使えない状態になります。

参考記事:W32.Nimda.A@mm

3-2.情報を盗む

金銭になる情報を盗むことを目的にしたワームがあります。

トロイの木馬とワームの複合型のマルウェアと言ってもいいでしょう。

金銭になる情報とはオンラインバンキングのログイン情報、ネットサービスのID、パスワード、オンラインゲームのユーザー名、パスワードがあります。

事例を紹介しますと2012年7月に発見されたJava.Cogyekaはオンラインゲーム『League of Legends』のユーザー名とパスワードを盗むことを狙ったワームです。このワームは侵入したPCのキーボード入力とマウス操作を記録します。

また、下のログイン画面ではユーザ名、パスワードが自動入力されている場合があるので、このワームはアカウント情報が記録しているファイルを盗み出そうとします。

このようにして取得した情報は犯罪者の持つサーバーにワームが送ります。

League of Legendsのログイン画面
Fig2_0

アンダーグラウンドの闇市場であらゆる情報が販売されています。
以下に販売されるものと値段を書いておきます。

  • 身元詐称に利用できるパスポート現物のスキャン画像(1 ドルから 2 ドル)
  • 価値の高いバーチャルアイテムを取得可能できる盗難ゲームアカウント(10 ドルから 15 ドル)
  • ビットコインの支払先を攻撃者に書き換えて盗み取るツールなど、カスタムのマルウェア(12 ドルから 3,500 ドル)
  • ソーシャルネットワークのフォロワー 1,000 名(2 ドルから 12 ドル)
  • コマンド & コントロール(C&C)サーバーのホストに利用できる盗難クラウドアカウント(7 ドルから 8 ドル)
  • 確認済みの電子メールアドレス 100 万件宛てにスパムを送信(70 ドルから 150 ドル)
  • 登録済みで有効化済みのロシアの携帯電話 SIM カード(100 ドル)

参考記事:Java Autorun ワーム Java.Cogyeka(第 3 回)
アンダーグラウンドの闇市場: 盗難データ、マルウェア、攻撃サービスの取引が盛況

3-3.マルウェアをダウンロード

ワーム自身がコンピュータに侵入したら、ワームがコンピュータのバックドアを開いて、別のマルウェアをインストールされてしまうこともあります。1つのワームに感染することで、そのワームが別のマルウェアを犯罪者の意図で侵入させられてしまうという、犯罪者がコンピュータをある程度コントロールできてしまう状態になります。

worm06

具体的に紹介しますと、2009年に発見されて息が長いワームW32.Changeupはコンピュータに感染すると、侵入先のコンピュータにマルウェアをインストールすることができます。

このことから犯罪者はマルウェアの配布を商売にしているのではないかと予想しました。マルウェアをコンピュータ何台に感染させたことで報酬を受け取る闇商売です。

参考記事:W32.Changeup

3-4.仮想通貨の制作

仮想通貨の作成のためにワームの侵入先のコンピュータに働いてもらうというものです。

詳しく書きますと、仮想通貨を入手する方法は3種類あり、その中の1つの方法が採掘(マイニング)です。仮想通貨として有名なのはビットコインですが、ビットコインは採掘して作るためには、大変なコンピュータパワーを使うため、家庭用パソコンではほとんど稼ぐことができません。

そのためビットコイン以外の仮想通貨をワームが感染先で採掘するケースがあります。

worm07

実例としては、2013年11月に発見されたLinux.Darllozは侵入したコンピュータで仮想通貨Mincoin,Dogecoinの採掘をします。

参考記事:IoT ワームを利用した暗号通貨のマイニング

3-5.メールの送信とメッセージの投稿

ワームが侵入するとメール、SNSへの投稿を行うものもあります。

詳しく説明すると、感染するとワームがコンピュータの中にあるアドレス帳を探し、アドレス帳内のメールアドレスに大量にメールを送信します。

もう1つはFacebookなどに代表されるSNSに大量の書込みを行います。

事例としては、感染するとFacebookに何千回とメッセージを投稿したXSSワームがあります。Facebookにログインしていると、ワームが自動的にFacebookに投稿をします。特にインドネシアでは何も知らないユーザーによって、感染したメッセージが何千回も投稿されました。

投稿の中にはワームに感染しているWebサイトのリンクがあるので、さらにワームを拡散させるのです。

XSSワームによってされた投稿
XSS2_post

参考記事:Facebook のウォールに自動投稿する新たな XSS ワーム

3-6. ボットネットの手足のように使われる

ワームが侵入したコンピュータは、犯罪者が操るネットワーク:ボットネットの手足となってしまうというものです。犯罪者が感染した大きくのコンピュータを自分のもののように操ってしまうのです。

worm08

ボットについては「ウイルス性のあるボットとは|6つの感染経路、6つの被害、対策など全部解説」で詳しく解説しています。

具体例としては、2013年に発見されたJava.Tomdepは犯罪者が感染したコンピュータに対して下のことができます。

・ファイルのダウンロード、アップロード
・プロセスの作成
・ワーム自身の更新
・別の感染先を探してマルウェアを送信

このワームの目的は感染したコンピュータからDDos攻撃を行うことだと予想されています。

DDos攻撃とは標的とするサーバー・Webサイトに対して、たくさんのコンピューターから一斉にアクセスをして、サーバー・Webサイトがサービスをすることを妨害する攻撃です。

参考記事:Tomcat サーバーを狙う攻撃者

3-7. プリンターを乗っ取る

感染すると文字化けをした紙を大量に印刷するワームです。

実例としては2012年6月に発見されたW32.Printloveです。

このワームに感染したコンピュータがネットワーク上でプリンターに接続されていない場合は、ネットワーク上でプリンターに接続されている他のコンピュータを探します。

検索されたコンピュータがW32.Printloveが攻撃する脆弱性の修復パッチを当てていない場合はワームに感染します。修復パッチを当てているコンピュータにはW32.Printloveは印刷を要求します。

その結果、ワームに感染はしませんが、大量の文字化けした紙を印刷することになります。

下の参考記事に英語ですが、説明動画がありますのでよろしければご覧ください

参考記事:プリンタが混乱: W32.Printlove をビデオでご紹介

ワームがコンピュータに侵入すると行うことを7つ紹介しましたが、犯罪者の手口はどんどん進化しているので、今後さまざまな被害が出てくることが考えられます。

4.4つのワーム対策

ワームの対策として5つほど以下に紹介します。

4-1.OSと使用しているソフトウェアの設定を自動更新にして、常に最新状態にしておく

犯罪者はOS、Java、Flash、Acrobatなどの脆弱性を突いた攻撃を仕掛けてきます。
そのためOSと使用ソフトウェアを自動更新にすることで、攻撃から自分のコンピュータを守りましょう。

4-2.送信元が不明な添付ファイル、知り合いからのメールでも不明な添付ファイルは決して開かない

予期しない添付ファイルは開かないようにしてください。インターネットからダウンロードしたソフトウェアは、ウイルススキャンを実行して安全であることを確認してから実行します。

.vbs、.bat、.exe、.pif、.scr などの拡張子を持つファイルは、脅威の拡散に頻繁に使用されるため、それらのファイルが添付されたメールをブロックまたは削除するようにメールサーバーかコンピュータで設定できれば、なお良いでしょう。

4-3.迷惑メール、メッセージ、SMSの中のリンクはクリックしない

迷惑メール、メッセージやSMSの中にあるリンク先に飛んでしまうと、マルウェアに感染する可能性があります。

なぜかと言うと、コンピュータがブラウザの脆弱性の修正プログラムが適用していない場合、マルウェアに感染したWeb サイトにアクセスするだけで感染することがあるからです。

Webサイトにアクセスするだけで感染しますので、そのようなサイトにはアクセスしないのが安全です。

4-4.ファイアウォールを持つセキュリティソフトをインストールする

上の1から4まで行っても対策としては万全ではありません。セキュリティソフトを使うことで自動的にセキュリティソフトがワーム、マルウェアからコンピュータを守ります。

ワームはネットワークを介して感染します、またボットは犯罪者がコントロールするサーバーと通信をします。ファイアウォールを持つセキュリティソフトを使うことで、これらの通信を遮断することができます。

ノートン セキュリティはファイアウォールに加え、侵入防止機能(IPS)によってさらに感染を防ぎます。

5.最後に

ワームについて説明いたしましたが、マルウェアの中にはその他、ウイルス、トロイの木馬があります。

“1. ワームの特徴と最も感染を広げたワーム4種“でも書きましたが、ワームがたくさん出現したときは、とても派手な動作をして、たくさんのコンピュータに感染しました。

そして、被害は企業のITサービスが止まったり、遅くなったりするもので犯罪者に対して金銭が発生するものではありませんでした。

近年になってからはマルウェアの中でもトロイの木馬が台頭してきました。トロイの木馬にコンピュータが感染しても気付きにくく、目的の動作をするまではじっと潜んでいます。

そして、広告詐欺を働いたり、犯罪者の指令でDDos攻撃をしたり、コンピュータのオンラインバンキング情報を盗み、銀行口座から預金を盗みます。

現在のほうが我々個人としてはマルウェアに気を付けなければいけないのかと、本記事を書いていてつくづく思いました。
トロイの木馬については「トロイの木馬とは? | ウイルスとの違いや感染被害例について」を是非ともご覧ください。

より多くの方のセキュリティに関する知識が深まり、増大するオンライン犯罪の被害が減ることを願っています。

※記事内容の利用実施は、ご自身の責任のもとご判断いただくようお願い致します。

  • このエントリーをはてなブックマークに追加
パソコンの動きが遅いと感じたら、
無料でウイルススキャンしてみませんか?
ノートンセキュリティ

あなたは現在、パソコンの動きが遅い、ソフトがすぐに落ちる、重要なデータが開けない、 などのおかしな症状に悩まされていませんか? 
近年、ネット犯罪が増加し、様々なトラブルが発生しています。「自分は大丈夫だろう」と対策を怠った結果、 知らないうちに、悪質なウイルスに感染してしまうことも少なくありません。

あなたのパソコンが安全かどうかを調べるもっとも確実な方法は、セキュリティソフトを使った『ウイルススキャン』です。この方法は、以下のようなメリットがあります。

  • ボタンひとつで、パソコン全体を簡単にスキャン
  • ファイルを隅々まで調べ、ウイルスを高確率で検出
  • 危険なウイルスを発見次第、そのまま駆除

現在、ノートンセキュリティでは、30日間無料で最新版がご利用いただけます。今すぐインストールして、ウイルススキャンをしてみてください。