コンピューターウィルス講習会神津内科クリニック神津仁於：中野区医師会私のウィルス騒動記 • TROJ_ALIZ.A PE_NIMDA.A（ニムダ）でも使われたInternet Explorerのセキュリティ・ホールを悪用し、メールをプレビューしただけでウイルスが実行される。教訓：現代の「友人にしたい職業」の第一はＳＥ。ヒトウィルスとＰＣウィルス W95.Marburgが発病したときの画面＜画面に異常が発生する＞・システムが立ち上がらない。・システムの立ち上げに異常に時間がかかる。・システムがハングアップする。・ユーザーの意図しないディスクアクセスが起こる。・ファイルが削除、破壊される。・ディスクが破壊される。ウイルスの定義（フレデリックコーヘンの定義） • 1984年米国セキュリティ学会で、フレデリックコーヘン（カリフォルニア大学電気工学科博士過程）が「コンピュータウイルス」という単語を初めて使用した。コーヘンのウイルスは以下である。 • “他のコンピュータプログラムに自身のコピーを含ませるために、それらのプログラムを修正することによって伝染することが出来るプログラム” 通産省告示第535号「コンピュータウイルス対策基準」の定義 • 第三者のプログラムやデータベースに対して意図的に何らかの被害を及ぼすように作られたプログラムであり、自己伝染機能、潜伏機能、発病機能の一つ以上有するもの自己伝染機能自らの機能によって他のプログラムに自らをコピーし又はシステム機能を利用して自らを他のシステムにコピーすることにより、他のシステムに伝染する機能。潜伏機能発病するための特定時刻、一定時間、処理回数等の条件を記憶させて、条件が満たされるまで症状を出さない機能。発病機能プログラムやデータ等のファイルの破壊を行なったり、コンピュータに異常な動作をさせるなどの機能。用語説明(1) • 侵入ウイルスがコンピュータ内において実行できる状態になること。 • 寄生ウイルスが他のプログラムに侵入してそのプログラムを利用しながら動作すること。 • 感染ウイルスが他のプログラムに侵入して仲間を増やすこと。 • 増殖・繁殖ウイルスが自己を複製して仲間を増やしていく様子（コンピュータ内部・コンピュータから他のコンピュータへ）。 • 伝染現在ウイルスが侵入しているコンピュータから他のコンピュータに自己複製して再侵入し、同様な状態になること。用語説明(2) • 潜伏ウイルスがコンピュータシステム内にあってまだ発病してない状態。 • トリガーウイルスの不正命令（破壊命令など）が実行される論理的なきっかけ。 • 発病トリガーにより不正行為が実行されて、正常なコンピュータ機能を阻害しはじめること。 • ワクチンソフトウイルスを発見・駆除するソフト。ウイルスの種類(機能的分類) • 爆弾自己伝染機能はなく、発病のみを意図して作られたプログラムのことです。時限爆弾や論理爆弾のように潜伏機能を持つものもあります。 • トロイの木馬自己伝染機能はなく、発病を意図して作られたプログラムのことです。 • ワーム通常ウイルスは自らを他のプログラムにコピーして、そのプログラムの起動時に動作しますが、ワームはこのプログラムを必要とせず、ウイルスだけで1つのプログラムファイルとして存在し動作します。ウイルスの種類(感染対象による分類) • ブートセクタ感染型ディスク中のIPL（ブートセクタ、パーティションテーブル）等のシステム領域と呼ばれる部分に感染します。通常はユーザーには見えない領域なので発見が少々困難です。パソコンを起動する際に必ず制御が通過する場所なので、起動後パソコンは既に感染状態となっています。メモリに常駐してフロッピーディスクを監視しており未感染であるディスクにアクセスすれば、そのシステム領域に感染します。 • ファイル感染型最も一般的なウイルスのタイプです。感染プログラムを実行すると、他のファイル1個か複数個に感染します。実行の際に日付や実行回数等条件が満足されていれば発病します。条件に満足しなければ他のプログラムに感染し、実行したオリジナルプログラムに制御を渡します。感染するとファイルのサイズが増加するので発見は比較的容易です。一般的には、.COM．EXEなどの実行型のファイルに感染します。ウイルスの種類(感染対象による分類) • 複合感染型ブートセクタ感染型とファイル感染型のウィルスを組み合わせたものでファイルとブートセクターの両方に感染します。 • マクロ感染型 MS-WordやMS-Excel等のデータファイルのマクロ部分に感染します。これまでファイル感染型ウイルスは実行ファイルにのみ感染・発病するものでしたが、マクロ感染型の登場によってデータファイルにも注意が必要になりました。メモリ常駐の有無による分類 • メモリ常駐型感染プログラムが実行された際にメモリに常駐します。以後アプリケーションプログラムがOSのシステムコールやBIOSコールを実行すると、割り込み処理によりウイルスの感染機能や発病機能が動作します。 • メモリ非常駐型感染プログラムが実行された際にウイルスの感染機能や発病機能が動作します。感染経路1 ブートセクタ感染型やファイル感染型、複合感染型ウイルスはCD-ROMや FD等の記憶媒体の貸し借りや、インターネットからプログラムをダウンロードすることによってPCに感染する。感染経路2 マクロ感染型ウイルスはCD-ROMやFD等の記憶媒体の貸し借りや、 MS-WordやMS-Excelデータファイルを添付したメール、インターネットからMS-WordやMS-ExcelのデータをダウンロードすることによりPCに感染する。感染防止法 • 最新のワクチンソフトを活用しましょう。 • 万一のウイルス被害に備えるためデータのバックアップを行いましょう。 • ウイルスの兆候を見逃さず、ウイルス感染の可能性が考えられる場合ウイルス検査を行いましょう。 • メールの添付ファイルはウイルス検査後開きましょう。 • ウイルス感染の可能性のあるファイルを扱う時は、マクロ機能の自動実行は行わないようにしましょう。 • 外部から持ち込まれたＦＤ及ダウンロードしたファイルはウイルス検査後使用しましょう。 • コンピュータの共同利用時の管理を徹底しましょう。 IPA(Information-technology Promotion Agency)が公開しているウイルス感染防止の七箇条ヒトウィルスとＰＣウィルスとの比較ヒトウィルス PCウィルス自然界に存在＋－自然発生＋－生命＋－宿主ヒトＰＣ増殖＋＋ DNA又はRNA ＋－自己増殖－－宿主を介して増殖＋＋ヒトウィルス PCウィルス急性発症＋＋ slow virus infection ＋＋(設定の時間に発症) 不顕性感染＋＋（スキャンで見つかるもの）感染経路・経口＋(A型肝炎、ポリオなど) ＋(CD-ROM、FDなど) ・気道＋(インフルエンザなど) ・血液＋（AIDS、B型肝炎など） (Mail、Internet) ヒトウィルス PCウィルス症状・発熱＋～－－・(錯乱)脳症＋～－ ++ ・運動障害（麻痺）＋～－ ++ 潜伏期＋＋感染力 ++ ++ ヒトウィルス治療 PCウィルス＋＋ a)ワクチンの有効性＋＋(アンチウイルスソフト) b)水際作戦の有効性ゴミ箱へ入れる設定をしておく）＋＋（常時接続しない、添付書類は＋＋(アンチウイルスソフト) ＋＋＋＋ c)抗ウィルス剤予防 a)知識を得ることが予防につながる b)日頃の清潔（手洗いの励行、人込に行かないなど）＋＋ (みだりに誘惑的なmailを開けない、常日頃より淫らなサイトには行かないようにする、不法なソフトを買わない ) ウィルスを知り、己を知れば、百戦（internet）危からず