Designer's Farm. Macintosh News Virus Info. Top Banner
Point

Macintosh のコンピュータウイルス

Point
Triangle 目次
Triangle 主なウイルスの症状と影響一覧
Triangle 更新履歴(最終更新:'98 5/20)
Point
Triangle Macintosh News
Triangle Macintosh トラブルニュース
Triangle Tips & FAQs
Triangle HomePage
Point
Macintoshは米国アップルコンピュータ社の商標です
Triangle E-mail: Design室 秋山 智
Point


Triangle Macintosh News Triangle Macintosh トラブルニュース Triangle Tips & FAQs Triangle HomePage



Point
Auto Start 9805 について

98年5月20日現在, Auto Start 9805 という新種のウイルスとその変種が発見され,かなりの範囲での被害が予想されます. Auto Start 9805 とその変種に関する情報は(予防,発見,除去法など)は

Macintoshトラブルニュース

に記していますので参照して下さい.特に関連記事一覧中の(重要)と記されている記事を参照願います.


Point

ウイルスではないかと思ったとき

冷静になる
いくつかのウイルスは全データを消去しているというようなメッセージを出すことがある.しかし,実際にそのようになる場合はほとんどなく,うそのメッセージを表示するだけである.(同じように表示する冗談ソフトもある)あわてないように.



ウイルスの確認

このファイルのウイルスの検知と除去-アンチウイルスプログラムなどにしたがって ウイルスを確認する.確認できない場合はウイルスではないと考えた方がよい.



処置を行う

アンチウイルスプログラムで処置し,ウイルスを除去する.



感染の拡大を防ぐ

感染の可能性のあるところに直ちに処置法を含めて告知する.影響のおよばない範囲まで警報しないこと

Point
ウイルスの警報があったら

それは悪質ないたずらの可能性がある

ウイルス関連サイト,ニュースグループを見るなどして確認する

信頼できる情報源であれば,アンチウイルスプログラムで走査し,フロッピーまで調べる

不特定多数の影響のおよばない範囲までメール,ネットニュースなどで告知しない



Point



目次




ウイルスではないかと思ったとき
ウイルスの警報があったら

最初に

ウイルスとは
ウイルスの徴候
ウイルスの分類
感染
ネットワークからの感染
他プラットフォーム間の感染
ウイルスと紛らわしいケース
ウイルスと紛らわしいケース-デマ( Hoax )
ウイルスの検知と除去-アンチウイルスプログラム
Disinfectant の限界
予防と備え
日本の被害状況
Microsoft のマクロウイルス
主なウイルスの症状と影響
情報源




Point


最初に

もし,あなたが自分でもウイルスを作ろうかと考えたならば次のことを考えていただきたい.
病院で生命維持装置のコンピュータがウイルスに汚染されていたらどうなるか.


Point


幸いにもこれまで Macintosh のウイルスで悪質なものは大変少なかった.ウイルスが話題になったことが過去にあったが, Macintosh では Disinfectant というフリーウェアが普及しウイルスは大きい問題にならなくなっていた.ところが,1995年から発生した Microsoft の マクロに関連する新種のウイルスが広く影響を及ぼし始めた.これらは Windows で動作する害意のあるウイルスであるが,特徴的なこととしてその一部が Macintosh でも動作するのである.これまで他のプラットフォームのウイルスは Macintosh に影響は及ばず, Windows などの悪質なウイルスの話も対岸の火事であったのだが,それら害意のあるウイルスが Macintosh に侵入してきたのである.(ただし,その影響力は限定されることが多い)

問題なのは,これまで広く用いられてきた Disinfectant がこの新種のマクロウイルスに対応していないことである.それは,マクロウイルスが Disinfectant が対応してきたような機械語レベルでのウイルスではないからである.これ以外にもマクロウイルスにはこれまでと異なった特徴がいくつかある.

また,インターネットの普及によりメールによるファイルの添付や,FTPなどがごく普通に行われ, Java などの特殊な実行環境はセキュリティなど新たな問題を生起させる可能性があるだけでなく,ウイルスの伝播やデマの発生などこれまで経験しなかったような事態を生んでいる.

Macintosh ユーザはこれまでと異なった対応が必要とされている.

私はウイルスについて有用な内容を書けるわけではない.これまで,私がウイルスに実際に直面したことは,皆様からの情報からウイルスであると断定し関与したことまで含めても4回しかない(ウイルスではなかったケースは数知れずだが).私はプログラマでもなければ,ハードウェアのデザイナーでもない,仕事で否が応でもコンピュータを扱い始めなけれなならなくなったどこにでもいる人間である.
それでもこのようなものを公開するのは,上記のように新しい事態に立ち入り始めているにも関わらず,他に日本語で読めるこのようなものがほとんどないこと,特に Macintosh について書かれたものが少ないことが理由である.私より適当な方が私のこのページに代わる確かなものを作成していただけることを望んでいる.


97年4月6日




Point



コンピュータウイルスとは

コンピュータウイルスはインフルエンザなどの病気をおこすウイルスではない.コンピュータウイルスはプログラムの一種であり,ゲームやワープロなどと同様,コンピュータのメモリに展開され処理される,人為的に作成されたデータの一種である.したがって,何らかの物理的な外観をもった「物」や「生物」ではない.

コンピュータウイルスはコンピュータや周辺機器を物理的に破壊することはない.通常のトラブルでも起こり得るエラーを起こすもので,通常のトラブル対策でも最善の方法であるバックアップがあれば元に戻せる性格のものである.必要以上に恐怖する必要はない.
コンピュータウイルスを作成し,他人のデータを改変することは犯罪である.
(以下,ウイルスという語をコンピュータウイルスのこととして書いていく)


ウイルスとは,他のプログラムまたはファイルに自己の複製を作るプログラムであると説明されている.
Fred Cohen の定義
a COMPUTER VIRUS is a computer program that can infect other computer programs by modifying them in such a way as to include a (possibly evolved) copy of itself.
このように定義される場合,トロイの木馬と呼ばれる種類のプログラムは自己の複製を作らないため,ウイルスと言えないことになる.しかし,トロイの木馬もウイルスと同様に扱われることが多い.
したがって,ここでは,他のプログラムやファイルにユーザが意図しない(自己増殖を含む)改変,予期しないエラーをもたらすように意識的に作られたプログラムとして扱いたい.

ウイルスは,アプリケーション,システムなどの実行可能コードを実行するか,マクロなどのスクリプトを含んだファイルを開くか,感染したディスクをマウントし他のディスクにファイルのコピーを行うかすることで感染する.

感染は他のプログラムに自己を複製することである.ウイルスのプログラムには次の「ウイルスの徴候」に書いたような変なメッセージを表示させたり,ディスクのデータを書き替えたりするプロセスが含まれていることがある.




ウイルスの徴候

Disk Data の消去
変なメッセージの表示,挿入
ビープ音,変な音声メッセージ
ワープロなどでのデータの置き換え
ヴォリューム,フォルダ,ファイル名称の変更
ファイルサイズがいつのまにか増えている
Microsoft Wordでの不審な現象
システムエラー
など

上記以外にもウイルスによって徴候はさまざまである.詳細は 主な Macintoshウイルスの症状と影響を参照願いたい.

ウイルスプログラムは意図した影響を与えるものの他,ウイルスプログラムの不備から意図しないシステムエラーなどの結果をもたらすものが大変多い.





ウイルスの分類


通常のウイルス

これまでいわゆるウイルスと呼ばれてきたものである.機械語レベルで増殖するように書かれたもので,作成には専門的な知識を必要とし,プログラマのような専門家でなければ作成することはできない.したがって,出現頻度は高くない.

Macintosh のこれらウイルスに悪質なものは少なく,実際に悪質なウイルスに感染するケースは極めてまれである. Macintosh では nVIR が比較的多く見られるが,これはファイルの消去,書き換えなどを行わない比較的軽い症状のものである.

Disinfectant はこれら機械語レベルのウイルスには全て対応している.


トロイの木馬

自らは感染増殖能力を持たず,木馬と呼ばれる仮のプログラムを装って,ユーザに起動させるようにしている.ユーザが起動することで発症する.

木馬は,ゲームや,有用なプログラム,ユーティリティの形を表面上装っている.例えば,テトリスのようなゲーム,中国語をしゃべるようにするなど. Disinfectant は基本的に対応していない

症状など凶悪なものがあるが,実際にそれらが出現することはきわめてまれである. Macintosh では MBDF というトロイの木馬が見られることがあるが,ファイルの消去,書き換えなどは行わない比較的軽い症状のもので,Disinfectant がこれには対応している.


マクロウイルス

現在のところ, Microsoft社の Word に関して1995年から多く現れている新種のウイルスである. Excel のマクロウイルスも存在し,種類はまだ少ないものの今後は増加すると見込まれている.

これらは従来のウイルスやトロイの木馬と異なる点をいくつか持っている.機械語レベルではなく,スクリプトレベルで作成され, Visual Basic 対応,OLE 対応のアプリケーション,プラットフォームで感染するという性質がある.

Wordマクロウイルスは大変な勢いで種類が増加しており,今後の対応が求められている.(毎日3-4種,ひと月に100種以上.しかもますます増加傾向にある) Windows で動作するために書かれたものがほとんどで Macintosh プラットフォームを最初から狙ったものはなく, Macintosh では事情の違いにより データの削除などはほとんど起きないが,Word 英語版で感染は起き,一部実害がある.

このウイルスの特質から Disinfectant は対応してない.

このウイルスについては特に Microsoft のマクロウイルスという項目を設けているので詳細を参照されたい.


HyperCardウイルス

Microsoft Word マクロウイルスと同様, 機械語レベルとは異なるスクリプトレベルのウイルスで, HyperTalk によって作成されている.
したがって,HyperCard スタックから感染し, HyperCard スタック間で感染することがほとんどである.HyperCard を使用していない場合は感染の恐れはない.

Disinfectant は機械語レベルのウイルスに対応しているという基本的な特質から実行可能コードを持たないほとんどの HyperCard ウイルスには対応していない.また,1995年4月以降にいくつかの HyperCard ウイルスが出現したがそれらにも当然対応していない.きわめてまれである.
詳細は主なウイルスの症状と影響に記述してある.


Worm

単に自己の増殖を図るだけのもので Unix で発見された. Macintosh にこの種類があるのかないのか,私は知らない.



Point

感染

ウイルスは感染したファイル(アプリケーション,システム,データファイル)を実行する(メモリに展開する)か,感染したディスクをマウントしコピーを行うことで,他のアプリケーション,システム,データファイル, Desktop ファイルに感染する.感染するとは,他のファイルのプログラムまたはデータに自己の複製を書き込むということである.
ただし,トロイの木馬は自己の複製を作らない.木馬となるプログラムを実行することでその中に潜む有害なプログラムが実行される.

感染するケースをもう一度箇条書きにする

感染したアプリケーションの実行
感染したシステムからの起動
感染した実行可能なスクリプトを含むファイルを開く
感染した Desktop ファイルを持つディスクをマウントしコピーを行う

以上のことは,次のことを意味する.

■ 単なるデータファイルからの感染はありえない
(メールを開くだけでは感染しない)
■ 感染したシステム,アプリケーションであっても実行しない限り感染しない
■ ロックされたディスクに感染することはできない


ウイルスのプログラムの一般的プロセス

ウイルスは通常次のプロセスでプログラムを実行する.

起動される

自己の複製を作る

システムのクロックを確認

特定の日付でなければそのまま終了し,
特定の日付であれば,プログラムを実行する


Desktop に巣くうタイプのウイルス( CDEF, WDEF )はディスクをマウントしコピーを実行することで感染するが,それ以外はプログラムを実行(またはシステムから起動)しないことには感染しない.疑わしいファイルは開かなければ感染の恐れはないし,感染したシステムからはそのシステムから起動しなければ感染しない.
また,どちらにしても,ロックされたディスクに感染することは,書き込む事ができないために不可能である.





ネットワークからの感染

AppleTalk

AppleTalk でファイルやディスクを共有している場合,サーバかクライアントが感染していると感染する可能性がある.
アプリケーションを共有している場合,そのアプリケーションが感染していれば,それを開いたクライアント側のメモリに展開されるわけであるから,開いたクライアントの他のプログラムなどに感染する.また,クライアント側のシステムが感染していれば,サーバに書き込むプロセスで感染する.ディスクの共有でも同様である.

このようなネットワークでの共有からの感染を防ぐにはサーバを書き込み禁止にすることである.


インターネットからの感染

メールやWWW,FTPを使用して感染することはありうる.しかし,単にメールを開いたり,WWWページをブラウズしたり,FTPから圧縮データを入手するだけでは感染しない.つまり,メールやWWW,FTPは感染ファイルを転送する手段としてしか感染に関われない.これら自体が感染しているということはありえない.


メールからの感染

インターネットを通じてメールを使用することで感染することはありうる.しかし,メールを受け取ったり,メールを読むことでは感染しない.メール自身は感染源にはならず,単なる感染した添付ファイルの転送手段としての意味しかない.
もしもメールを読むことで感染するというウイルスがあるという警告を受け取った場合,現在そのようなものは発見されていないので,それは悪質ないたずらかそれにだまされたメールである.

メールからの添付ファイルによる感染は実行可能コードまたはマクロを含む添付ファイルを展開し実行することで感染する.したがって,添付ファイルを開くことには慎重にならなければならない.(添付ファイルが転送されてハードディスクに書き込まれるだけでは感染しない)

自動的に感染ファイルを添付して使用者のメールアドレスに送りつけるウイルスは存在する.現在, Microsoft Word のマクロウイルスの一種がこのタイプのウイルスとして見つかっている.メールを開くことだけでは感染しないが,添付された書類を英語版 Word 6.0以降で開くことで感染する.( ShareFun.A


WWWからの感染

インターネットを通じてWWWページをブラウズすることで感染することはない.しかし,ページからファイルをダウンロードし,そのファイルが感染していると,そのファイルを開くことで感染する.

ウイルスではないが, Microsoft Internet Explorer 3.0,3.01にセキュリティホールがあり,それを利用した悪質なページがあって,そこにアクセスすることで致命的なエラーを引き起こすファイルをアクセスしたコンピュータに植え付けるものがある.今後,このような形式の害意あるスクリプトを含むページは問題となってくるだろう.


FTP

ダウンロードしたファイルが感染していた場合,それを復元し実行することで感染する.ダウンロードしただけでは(ファイルは圧縮されていることもあり)感染しない.


ネットニュース

バイナリーファイル(アプリケーションやプログラム.この場合,そのようなものを公開するニュースグループで公開されているファイル)を受け取ってデコードし,それを実行した場合,そのバイナリーファイルが感染していれば感染する.そんなケース以外で感染することはない.もちろん,記事を開いたり,読んだりして感染することは考えられない.そのような話は,メールを開いたら感染するというのと同種のデマである.




他プラットフォーム間の感染

ウイルスは, DOS, Windows の動作する環境でその多くが作成された. Macintosh のウイルスは少ない.これまでは Wintel で動作するウイルスは Macintosh には感染しなかった.また,逆に Macintosh で動作するウイルスは Wintel で動作しなかった.つまり,異なったプラットフォーム間で感染することはなかったのである.しかし,例外がある.


Microsoft Word などのマクロウイルス

Word マクロウイルスは, Word のファイルの互換がきくプラットフォームでは全て感染する.現在,英語版 Word では感染する.日本語版には感染しない.
Word 以外では Excel と Lotus で発見されている. Excel では Windows 上で日本語版にも感染するが, Macintosh 用日本語版では感染しない.

このウイルスについては特に Microsoft のマクロウイルスという項目を設けているので詳細を参照されたい.


Windows, DOSエミュレーション環境

昨今, Wintel アプリケーションを実行する環境が可能となってきている.このことは Wintel ウイルスを動作させる環境であるということになる.SoftWindows か DOS compatibility card のような Windows エミュレーション,DOSエミュレーション環境上で Wintelウイルスに感染したファイルを実行することでその Macintosh は Wintelウイルスに感染する.ただし,それは,あくまでも Wintel 環境で使用している範囲での Macintosh であって,同一の Macintosh でも Macintosh OS 下には感染したものは影響しない.



Point


ウイルスと紛らわしいケース

Welcom to Data comp

ワープロ書類にキーボードから入力中,タイプしていないのに "Welcom to Data comp"という文字列が入力される.

これはウイルスでなく,そのキーボードの ROM のバグである.テックパーツ社の MacWay という製品の Macintosh 用キーボードの初期出荷製品にこのバグがある.(不良キーボードは交換してくれる)

参考:テックパーツ
〒101 東京都文京区湯島3-14-2 ナツキビル3F
TEL 03-5688-1937 FAX 03-5688-1994



奴等がウヨウヨいるぞ!

OpenDoc 初期設定ファイルを開こうとすると出る EasterEgg (この場合は隠しダイアログ)である.CyberDog 初期設定でも出るとの情報もいただいている.ウイルスではない.アップルではウイルスと紛らわしいために陳謝し,新しいバージョンの OpenDoc, CyberDog では出ないようにすると言っている.


ウイルスと紛らわしいケース-デマ( Hoax )

Good Times

Good Timesというウイルスの警報は悪質なデマである.

「E-mail を通じて感染する Good Times というウイルスがあって, Subject が Good Times というメールを読まないように多くの人にメールして下さい」というウイルスの警報のメールは,多くの善意の人をだましてチェーンメールをさせることを目的としたデマである.

Good Times はそのメールを開くとハードディスクが消えるとか CPU がバイナリーループで壊れるとかいうウイルスであると説明されているが,開くだけで感染するメールのウイルスとかハードウェアを壊すというようなウイルスは発見されていないし,その可能性を考えることは大変困難である.(のであり得ない)


Psychic Neon Buddha Jesus

インターネット上で,あるページのボタンをクリックするとこのようなウイルスが Javascriptによって検知されたと出るという.冗談である.


PKZIP300

この名称のトロイの木馬は存在するが,実際に発見は大変困難であって,流される警告は噂だけが一人歩きしたデマである.そもそも,このトロイの木馬は DOS で C ドライブをフォーマットするなどいうのだが,そのようなコマンドは Macintosh には有効ではない.また,この噂が広がる中でいつのまにかモデムに感染するというような性質が付加されていることがあるが,そのようなウイルスはありえない.


Irina

ペンギンブックスの小説の広告にウイルス警報を出したことからから広まったという.デマである.


Ghost

もともとは Windows 用のスクリーンセーバであったらしい.そのプログラムは,通常は小さいウィンドウの中で幽霊と小鬼が動くのであるが,13日の金曜にはウィンドウの外に出て動きまわるようにできているらしい.このことが一部の人にトロイの木馬でないかという誤った確信を与えてしまい,デマウイルスとして広まった.


Deeyenda

GoodTImes と同様 E-mail によって伝染するというデマ.


Penpal Greetings

GoodTImes と同様 E-mail によって伝染するというデマ.


メールを開くだけで感染するウイルス

上記 GoodTImes,Deeyenda, Penpal Greetingsに限らず,受け取ったメールを開く(読む)だけで感染するというのはデマウイルスである.


ネットニュースを読むだけで感染するウイルス

このようなウイルスは実際にはない.


モデムに感染するウイルス

このようなウイルスは実際にはない.


JPEG,GIF ファイルを通じて伝染するウイルス

このようなウイルスはない.メールで添付されたファイルとしても, JPEG,GIFに限らず純粋なデータファイルからウイルスを感染させることはできない.


Point


ウイルスの検知と除去

ウイルスはそのプログラムを開かなければ( Desktop ァイルに感染するタイプでなければ)感染しない.ディスクに書き込まれても感染前に発見し,除去すれば被害はない.もしも,感染した場合も除去できるが,ウイルスの種類によってはデータを破壊するので元に戻すことは困難なことがある.

ウイルスに対処するためにはウイルスが入ってこないように予防することが第一であるが,もし侵入してきた場合は,次のようなことで異常を知り,検知できる.

1.コンピュータの動作異常(ウイルスの徴候参照)
2.ウイルス検知プログラムを使用する



アンチウイルスプログラムの種類

現在,主に使用されているウイルス検知プログラムは以下のものである.

Disinfectant
ノースウェスタン大学 John Norstad 氏の手になる Macintoshユーザに広く用いられているフリーウェア.これまでの Macintosh ユーザへの貢献は評価しきれない.検知と同時に除去も行える.大変優れた信頼のおけるプログラムであるが,次に述べるように限界があり,マクロウイルスなどには効果がない.(詳しくはDisinfectant の限界を参照)
最新バージョンは各 Info-Mac の /vir にある.(例えば,大阪大学 Info-Mac ミラー理研 Info-Mac ミラー)また, Macintosh 関連情報雑誌の付録 CD-ROM に収録されていることが多い.
Norton AntiVirus
Symantec 社のプログラム.検知と除去.製品としては広く使用されている.頻繁に