コンピュータウイルスの12年

コンピュータウイルス(以下、単に「ウイルス」とする)について、ITセキュリティ関連機関から月次や半期毎のレポートが公開されるようになったのはいつ頃であろうか。検索エンジンを使ってWebページを調べてみると、1994年に情報処理推進機構(IPA)が公開したレポートを見つけることができた。これには、1990年の4月に通産省(現・経産省)から届出機関として指定されて以来、IPAが約4年間集計してきたウイルス届出状況が記載されている。ざっと読むとわかるが、この頃のウイルスには以下に示す4点の特徴が顕著であった。

• ファイルに感染(いわゆる『ファイル感染型』)あるいはブートセクタの一部を書き換える(いわゆる『ブートセクタ感染型』)形態をとる
• 感染後の症状(いわゆる『発病』)は特定の日付および時刻に現れる
• 症状は、PCに音楽を演奏させたり、メッセージを表示するといったイタズラが行われるものがほとんど
• 感染経路のうち『不明』を除くと一番多いのは、外部から持ち込まれたフロッピーディスク(FD)やハードディスク(HDD)、PCである

ファイルに感染というのは、OS標準のファイルや実行可能ファイルを、ウイルスとしての悪意ある活動を行うように書き換えることを指す。

さて、本稿執筆時点でのデータはどうだろうか。同じくIPAが2006年7月に発表した、同年6月を対象とする資料をみてみる。これによれば、現況において多く検出されているのは電子メール添付型のウイルスであり、2006年上半期のデータ(PDF)をみても、届出数トップ10の顔ぶれは半年以上変わっていない。つまり、電子メールの利用が一般化して以来、ウイルスといえば電子メールに添付されてくるものだということが、このようなデータで実証されている。

加えて、12年前のデータと比較してみると、上位を占めていたファイル感染型はほとんど見つからなくなっている。ウイルスはこの12年の間に、FDやHDDの持込みという物理的な移動手段から、インターネットという論理的移動手段を手に入れ、その活用に注力していたと言い換えられるかもしれない。

では、ファイル感染型やブートセクタ感染型のウイルスはもう流行していないのだろうか? あるいは、もはや『絶滅種』となってしまったのだろうか? 筆者の頭の中をよぎったこのシンプルな疑問を、今回は解いてみたい。

Zotobの事例から探るウイルスの捕食-被食関係

ウイルスが現在に至るまでにインターネットという移動手段を手に入れたことは先に述べたとおりだが、それによりいくつかの事案が発生した。ウイルスの大量発生はもはや言うまでもないが、それと共に起こった別の側面にまずはフォーカスをあててみたい。それは『ウイルスにおける捕食-被食関係』である。

各種の情報ソースからウイルスの総検出数に含まれるファイル感染型を調べれば、現在の状況は簡単にわかるだろう。なぜこの側面にフォーカスをあてるべきか――その理由は後で述べることにする。

『ウイルスにおける捕食-被食関係』、つまり「食う・食われるの関係」が成立した事例が存在する。所詮、プログラムにしかすぎないウイルスが、特定のウイルスを削除したり、あるいは、そのウイルスの特徴を利用して感染に利用することがあるのだ。自然界における食物連鎖と比較すべき性質のものではないが、その発生については目を向けるべき部分があるだろう。

Zotobというウイルスがある。2005年、一部において大きく感染を広げ、とくに報道関係機関に悪影響を与えたと言われている。Zotobの作者は"Diabl0"というハンドルネームを持つモロッコ人で、FBIに逮捕されたことがすでに報道されている。そして、Zotobが発生した数日後には、すでにZotobを削除するウイルスが発生していた。このような、ある特定のウイルスが他のウイルスを削除したりすることを『捕食』と呼ぶことにする。

図は、ZotobとRBOT、SDBOTを捕食するIRCBOTシリーズとBOZORIシリーズを整理したものである。では、実際にこのような捕食関係があったことを裏づけるデータはあるのか?

日立製作所の寺田真敏氏が作成した資料(PDF)は、この点を裏付けている。この資料からは、トレンドマイクロのウイルスデータベースから得られた統計データを重ねると、Zotobが捕食され、IRCBOTシリーズとBOZORIシリーズが増加するということが、実際の被害データの集計からみてとれるのだ。

では、現在もこのようなウイルスの被食-捕食関係は存在しているのか? 次回は、この点を明らかにしていきたい。