ワームウイルスとは｜特徴2つ、感染経路4つ、被害7種類、対策方法

あなたはコンピュータウイルスのように被害を与えるワームについてお調べのことでしょう。

ワームは自己複製機能を持ち、単独で行動できるマルウェアの一種であり、非常に強い感染力と、その多くが「感染した」と明確に被害者に認識できる事を特徴としています。

感染した人の印象に強く残ったため、多くの方がイメージするコンピュータ ウイルスは、ワームである可能性が高いとされています。

実際に、2000年～2004年に世界中のコンピュータに大規模感染して世間を騒がしたのがワームです。それが元になり「感染している可能性があるPCの動作」といった資料がワーム感染時のものとなっているケースも多く、当時を知らない人がその偏った情報を得ている事も理由の一つです。

近年のマルウェアはその大半がトロイの木馬であり、ワームはそこまで多くないのが実情ですが、その感染力の強さと脅威が減少したわけではありません。

本記事ではワームとは何か？その特徴と歴代最も多く感染したワーム4種類、更に4つの感染経路と7種類の被害について具体事例を交えて紹介します。最後には対策を紹介します。

1. ワームの特徴と最も感染を広げたワーム4種

ワームはマルウェアの一種であり、ウイルスと違い単独のプログラムとして活動することができ、トロイの木馬と違い自己複製能力をもっているため、マルウェア3種の中でも一番高い感染力を持つ危険なマルウェアです。

1-1．ワームの特徴2つ

上記にもありますが、ワームを特徴付けるものとして2つの性質があります。

1．自ら複製を作って感染を拡大

自分の複製を作り(自己増殖)、他のデバイスに感染していきます。ワームの種類にもよりますが、アウトブレイク(大規模感染)したものは、ネットワークに接続される感染可能なデバイスに自ら侵入、増殖、感染可能なデバイスを探す、といったサイクルを繰り返し世界中の数百万台というPCに感染しました。

自己複製されたワームはPCの記憶装置に書き込まれるわけですが、中にはCPUの処理能力を独占し、記憶可能容量ギリギリまでその処理を延々と続けるものもあったため、感染したことが即判明する要因の一つでもありました。

2．自身が感染するための宿主となるファイルを必要としない

人間に感染するウイルスが「人間」を宿主として感染し増殖するように、ウイルスにはファイルという感染すべき宿主が必要です。

しかし、ワーム(とトロイの木馬)はウイルスのように他のファイルに寄生する必要がなく、単独のプログラムとして存在します。感染やプログラムの実行に必要な条件が減るため、より多くの環境に対応・活動を行うことが可能です。

この2つの特徴を併せ持ったものがワームと呼ばれています。
マルウェアの中でのワームの位置づけは下の図をご覧ください。

ウイルスと違い単独のプログラムとして活動することができるため、プログラムを作動させるための条件は低いと言えます。
また、独立したプログラムのため、ウイルスのように宿主となるファイルの制約を受けることも無く、攻撃者は自分の意のままにプログラムを作ることができます。

また、トロイの木馬と違い自己複製機能を持っているため、自分自身をどんどん増やすことができます。ウイルスも同様に自己複製可能ですが、上記の「単独のプログラムとして活動できる」という特徴によって非常に強い感染力を持っています。

ワームの中には感染したら、ネットワークを介して次の感染先を探し、高速に感染していくものがあります。感染方法としては、PCに侵入したワームはランダムなIPアドレスにアクセスして、ワームを広げたり、大量のメールを送ってワームの感染を広げていきます。

具体例をあげると、2003年に発生したSLAMMER（スラマー）はインターネット上で広がり始めた際、8.5秒ごとに感染台数を倍にしていきました。

1-2．マルウェア歴代感染数の上位はほぼワーム

ワームを語る上では、明記しておきたいことは、過去に最もPCに感染したマルウェアはワームということです。
下の表は歴代感染数のトップ3とされる感染数と被害額です。(旧Symantec調べ)

上のトップ3以外にもBlaster、Nimda、Slammer、そして2017年に話題になり20万台以上が感染したとされるランサムウェアWannacryもワームです。

これらのワームは非常に強い感染力で、感染するとワームが、次の感染先を見つけ、自分の複製を作り感染していくので、PCのCPUや記憶領域、ネットワーク通信量の多くをワームが占有してしまいました。

つまり、感染力が強すぎるため非常に目立ち「感染した」と明確に被害者が認識することができました。

これでは爆発的に感染数を増やしても比較的短期間で対策を取られ、駆逐されてしまいます。攻撃者からすると「面白い」だけであり「利益が上がる」わけではありません。

しかし、近年のマルウェアの主流であるトロイの木馬は感染しても静かにコンピュータに潜んで、見つからないようにし、金銭になる情報を盗んだり、犯罪者からの指示を待って広告詐欺、DDoS攻撃のようは不正行為を実行するようになっています。

このことから、近年の攻撃者は「一瞬で終わる面白いこと」よりも「継続的な利益」を求めていることが分かります。

しかし、このワームの感染力を利用した上で攻撃者に利益がもたらされる事になった事例が2017年のWannacryです。データなどを人質に取り、身代金を要求するランサムウェアはそれまでも存在していましたが、この事件で一気に有名になりました。

感染した事が認識してもらえなければ身代金を支払ってもらえないため、ランサムウェアとワームの相性は非常に良いと言えます。

2. ワームの4つの感染経路

ワームの感染経路で代表的なもの4 つ紹介します。感染経路の大きい順に並べてあります。

2-1．ネットワークを介しての感染

ネットワークに接続されているだけで感染していきます。

ワームがコンピュータに感染すると、ワームはランダムにIPアドレスを作ります。そして、次の感染先のコンピュータを探していきます。感染スピードはかなり速いと言えます。

2013年末に発見されたLinux.Darllozはネットワークを介して広がっていきました。ワームがコンピュータに侵入するとランダムにIPアドレスを作り、次の感染先を探していきます。

アクセスしたコンピュータにプログラミング言語PHPの脆弱性を突く攻撃を行います。コンピュータがPHPの脆弱性の修正プログラム適用していない場合は、悪質なサーバーからワームがダウンロードされ、感染することになります。

そして、さらに次の標的を探し感染が広がっていきます。

2-2. メールからの感染

受信したメールにワームが添付され、それを開くことで感染する感染経路です。

このようなワームに感染すると、さらにワームはコンピュータ内のアドレス帳を探して、見つかったメールアドレスにワームを添付して大量にメール送信します。

2003年に発見されたSOBIG.Fは、このようにして世界中の約200万台のコンピュータに感染しました。感染したコンピュータからあまりに多くのメールが送信されたため、航空会社のシステムが一時的に停止したり、多くの会社のシステムが遅くなる事態が起きました。

実際に送られるメールの件名、本文と添付ファイルは以下のものでした。

件名や本文からメール受信者の興味をそそり、添付ファイルを開かせようとする攻撃者の意図がうかがえます。

件名:
•Re: Details
•Re: Approved
•Re: Re: My details
•Re: Thank you!
•Re: That movie
•Re: Wicked screensaver
•Re: Your application
•Thank you!
•Your details

本文:
•See the attached file for details
•Please see the attached file for details.

添付ファイル:
•your_document.pif
•document_all.pif
•thank_you.pif
•your_details.pif
•details.pif
•document_9446.pif
•application.pif
•wicked_scr.scr
•movie0045.pif

2-3．共有フォルダから感染

ワームに感染したコンピュータがネットワークに接続されている共有フォルダにワームのコピーを置いて、ネットワーク上の他のコンピュータに感染させる手口です。

実例を紹介すると、2009年に発見されたW32.Changeupが、ファイル共有ネットワークを介して拡散するタイプのワームでした。侵入先のコンピュータにつながっている共有フォルダがある場合は、共有フォルダに自分のコピーを置きます。

コピーファイル名はサーチエンジンでよく検索される単語を自分自身につけていきます。例えば人気のある海賊版ソフトウェア、ゲームなどです。

さらに自分のコピーを何万ファイルも作り、容量にして1ギガバイトに達することもあります。

以下のスクリーンショットはW32.Changeupがフォルダに自分のコピーを作ったときの画像で45,079もの自分のコピーを作成し、950メガバイトの容量を占有しています。

2-4．USBメモリーなどの外部ドライブから感染

USBメモリーなどの外部ドライブにワームが潜んで感染していく感染経路です。ワームが侵入したUSBメモリーをコンピュータに差し込むことで感染します。

2009年に発見されたW32.Changeup、2012年に発見されたJava.Cogyekaの感染経路の1つが外部ドライブです。

W32.Changeupは外部ドライブに自分自身のコピー置きます。さらにWindows の自動実行 (AutoRun) 機能を使って、外部ドライブがコンピュータに接続されたときに自動的に実行されるようにします。

3. ワームが引き起こす8種類の被害

ワームがどのように侵入するのか知ったところで次は被害について8つ紹介します。
ワームが感染したらどのような事が起こるのでしょうか？

3-1．コンピューターを止める

ワームが自分自身を他のコンピュータに感染させるために感染したコンピュータから他のコンピュータにアタックを開始します。これによってコンピュータの記憶容量やCPUリソース、ネットワークリソースなどを占有してしまいます。

最終的にコンピュータのパワーとネットワークを占有し尽くしてしまい、動作を停止します。こうなると、電源を落とすかリセットするしか手段がありません。

2001年に発見されたNIMDA（ニムダ）はWebサーバと Windows PCに感染するワームです。PCに感染すると大量にメールを送信し、ネットワークの共有ファイルにも自身のコピーを置きます。

3-2．情報を盗む

金銭になる情報を盗むことを目的にしたワームがあります。

トロイの木馬とワームの複合型のマルウェアと言ってもいいでしょう。

金銭になる情報とはオンラインバンキングのログイン情報、ネットサービスのID、パスワード、オンラインゲームのユーザー名、パスワードなどがあります。

例えば、2012年7月に発見されたJava.Cogyekaはオンラインゲーム『League of Legends』のユーザー名とパスワードを盗むことを狙ったワームです。このワームはキーロガーとして侵入したPCのキーボード入力とマウス操作を記録します。

また、下のログイン画面ではユーザ名、パスワードが自動入力されている場合があるので、このワームはアカウント情報が記録しているファイルを盗み出そうとします。

このようにして取得した情報は犯罪者の持つサーバーに送信されます。

League of Legendsのログイン画面

ダークウェブ上にある闇市場ではあらゆる情報が販売されています。
時期などにより値段の上下はありますが、たとえば以下のようなものが販売されています。支払いは足がつきやすいクレジットカードではなく、ビットコインなどの仮想通貨が使用されるケースがあります。

• 身元詐称に利用できるパスポート現物のスキャン画像
• 使用可能なクレジットカード番号、セキュリティコード、およびカード所有者情報
• 価値の高いバーチャルアイテムを取得可能できる盗難ゲームアカウント
• ビットコインの支払先を攻撃者に書き換えて盗み取るツールなど、カスタムのマルウェア
• ソーシャルネットワークのフォロワー 1,000 名
• コマンド & コントロール（C&C）サーバーのホストに利用できる盗難クラウドアカウント
• 確認済みの電子メールアドレス 100 万件宛てにスパムを送信
• 登録済みで有効化済みのロシアの携帯電話 SIM カード

3-3．マルウェアをダウンロード

侵入したワームがコンピュータのバックドアを開いて、別のマルウェアをインストールしてしまうこともあります。そのワームが別のボットなど別のマルウェアを攻撃者の意図で侵入・インストールさせ、攻撃者がコンピュータをある程度コントロールできてしまう状態になります。

2009年に発見されたワームW32.Changeupはコンピュータに感染すると、侵入先のコンピュータにマルウェアをインストールすることができます。

このことから攻撃者はマルウェアの配布を商売にしているのではないかと考えられます。マルウェアをコンピュータ何台に感染させたことで報酬を受け取る闇商売です。

3-4．仮想通貨の採掘(マイニング)

仮想通貨の採掘のためにワームの侵入先のコンピュータに働いてもらうというものです。

仮想通貨を入手する方法は何種類かありますが、その中の1つの方法が仮想通貨の代表格とも言えるビットコインも採用する採掘（マイニング）です。

ビットコインを採掘して入手するためには、強力なコンピュータパワーを必要とするため、家庭用パソコン程度のパワーではほとんど稼ぐことができません。

そのためビットコイン以外の仮想通貨をワームが感染先で採掘するケースがあります。

2013年11月に発見されたLinux.Darllozは侵入したコンピュータで仮想通貨Mincoin(MNC)、Dogecoin(DOGE)の採掘をします。

3-5．メールの送信とメッセージの投稿

ワームが侵入するとメールを送信したり、SNSへの投稿を行うものもあります。

感染するとワームがコンピュータの中にあるアドレス帳を探し、アドレス帳内のメールアドレスに大量にメールを送信します。

もう1つはFacebookなどに代表されるSNSに大量の書込みを行います。

事例としては、感染するとFacebookに何千回とメッセージを投稿したXSSワームがあります。Facebookにログインしていると、ワームが自動的にFacebookに投稿をします。特にインドネシアでは何も知らないユーザーによって、感染したメッセージが何千回も投稿されました。

投稿の中にはワームに感染しているWebサイトのリンクがあるので、さらにワームを拡散させるのです。

3-6. ボットネットの手足にする

ワームが侵入したコンピュータは、犯罪者が操るネットワーク：ボットネットの手足となってしまうというものです。犯罪者が感染した大きくのコンピュータを自分のもののように操ってしまうのです。

ボットについては「ウイルス性のあるボットとは｜6つの感染経路、6つの被害、対策など全部解説」で詳しく解説しています。

具体例としては、2013年に発見されたJava.Tomdepは犯罪者が感染したコンピュータに対して下のことができます。

・ファイルのダウンロード、アップロード
・プロセスの作成
・ワーム自身の更新
・別の感染先を探してマルウェアを送信

このワームの目的は感染したコンピュータからDDoS攻撃を行うこととされています。

DDoS攻撃とは標的とするサーバーやWebサイトに対して、たくさんのコンピューターから一斉にアクセスをして、他からの接続をしにくくし、本来のサービスを妨害することを目的とした攻撃です。

3-7. プリンターを乗っ取る

感染すると文字化けをした紙を大量に印刷するワームです。

実例としては2012年6月に発見されたW32.Printloveです。

このワームに感染したコンピュータがネットワーク上でプリンターに接続されていない場合は、ネットワーク上でプリンターに接続されている他のコンピュータを探します。

検索されたコンピュータがW32.Printloveが攻撃する脆弱性の修復パッチを適用していない場合はワームに感染します。修復パッチを適用しているコンピュータにはW32.Printloveは印刷を要求します。

その結果、ワームに感染はしませんが、大量の文字化けした紙を印刷することになります。

3-8. PCを乗っ取る

感染するとPCのデータを暗号化、画面をロックしてデータを元通りにするための身代金を要求します。

比較的記憶にも新しい2017年に発見されたWannacryは、密かに長く活動を行うトロイの木馬が主流であったサイバー犯罪市場の中でワームを攻撃に用いた例です。自ら感染を広げるワームから遠ざかっていた市場は混乱に包まれ、世界で20万台以上が感染したとされています。

ワームがコンピュータに侵入すると行う例を8つ紹介しましたが、犯罪者の手口はどんどん進化しているので、今後さまざまな被害が出てくることが考えられます。

4.つのワーム対策

ワームの対策として5つほど以下に紹介します。

4-1．OSと使用しているソフトウェアを常に最新状態にしておく

犯罪者はOS、Java、Flash、Acrobatなどの脆弱性を突いた攻撃を仕掛けてきます。
そのためOSと使用ソフトウェアを自動更新にすることで、攻撃から自分のコンピュータを守りましょう。

4-2．送信元が不明な添付ファイル、知人からのメールでも不明な添付ファイルは決して開かない

たとえ知人からのメールであっても不明な添付ファイルは原則として開かないようにしてください。知人のアカウントが乗っ取られている可能性も否定できないので、メールの添付ファイルには十分気をつけましょう。

また、インターネットからダウンロードしたファイルは、信頼出来るサイトからダウンロードし、ウイルススキャンを実行して安全であることを確認してから実行します。

4-3．迷惑メール、SMS、SNSのDMの中のリンクはクリックしない

迷惑メール、SMS、SNSのDM(ダイレクトメッセージ)の中にあるリンクをクリックしてリンク先に飛んでしまうと、マルウェアに感染する可能性があります。

ブラウザの脆弱性の修正プログラムが適用されていない場合、悪意のあるWeb サイトにアクセスするだけで感染する可能性があるからです。

一般的には怪しげなサイトが悪意のあるサイトである事が多いのですが、誰もが知るような有名な会社のサイトであっても、外部から侵入されマルウェアに感染させるサイトに(見た目は変わらず)改ざんされている可能性もゼロではありません。

不明なリンクをクリックしないのはもちろんですが、4-1にもあるようにOSや使用するソフトウェアを最新にしておくと効果的です。

4-4．ファイアウォールを持つセキュリティソフトをインストールする

上の1から3まで行っても対策としては万全ではありません。セキュリティソフトを使うことで自動的にセキュリティソフトがワームなどのマルウェアからコンピュータを守ります。

ワームはネットワークを介して感染するため、コンピュータネットワークの各種データの出入り口を制御するファイアウォールを持つセキュリティソフトを使うことで、これらの通信を遮断することができます。

ワームが隆盛だった2000年代前半はコンピュータのパワーも今ほど強くなく、セキュリティソフトもファイアウォールを含んでいない「アンチウイルス」のみのものが多い時代でした。これもワームが感染を広げる要因の一つだったと言えます。

しかし、2020年代のセキュリティソフトはファイアウォールはウイルスバスター以外の有料のセキュリティソフトに搭載されています。(ウイルスバスターはWindows標準のファイアウォールを使用することでほぼ同様の機能を実現しています)

以下は最適化されたファイアウォールを持ち、かつ実績のあるセキュリティソフトの無料体験版一覧です。これらの有料版セキュリティソフトは期限内であればどの製品も有料版と同様の機能が無料で使用できます。(各社仕様が変更になる可能性はありますので、その点はご注意ください)

5．まとめ

ワームについて説明いたしましたが、マルウェアにはその他、ウイルス、トロイの木馬があります。

過去のマルウェアの中での歴代の感染数はワームが上位を独占しているという事実が、その圧倒的な感染力を表すわけですが、感染力の大小がそれぞれユーザー個人の被る被害と比例するわけではありません。

2000年代前半のワームの被害は企業のITサービスが止まったり、遅くなったりするもので企業や社会にとっては大きな被害でしたが、犯罪者に対して金銭的な利益が発生するものではなく、個人ユーザーもWindowsの再インストール程度で済んだのが事実です。

皆さんがどうしても避けたいのは自分自身が特に金銭的な被害を受ける事だと思います。

それをより確実に避けるためにもセキュリティの知識は必要です。

より多くの方のセキュリティに関する知識が深まり、増大するオンライン犯罪の被害が減ることを願っています。

※記事内容の利用実施は、ご自身の責任のもとご判断いただくようお願い致します。