CyberFix Noteマルウェアの種類と感染の仕組みを理解する。ウイルス・ワーム・トロイ・RAT・スパイウェアの違い
対象の目安: すべての利用者・運用入門 / 入門レベル
「マルウェアに感染した」という言葉はよく耳にしますが、その「マルウェア」が具体的に何を指すのかと問われると、答えに詰まる人は少なくありません。マルウェアは単一の何かではなく、悪意のある動作をするソフトウェアの総称です。NISTの用語集でも、マルウェアは「情報システムの機密性・完全性・可用性に悪影響を与える不正な処理を実行することを意図したソフトウェアまたはファームウェア」と定義されており、ウイルスやワーム、トロイの木馬、スパイウェアなどはすべてこの傘の下にある下位分類にすぎません。
分類を知ることには実務的な意味があります。「どうやって増えるのか」「ユーザーの操作が必要なのか」「最終的に何をされるのか」が分類ごとに異なり、それが感染経路の塞ぎ方や、感染後の被害想定、優先すべき対策に直結するからです。たとえばワームのように自分で増えるものと、トロイの木馬のようにユーザーにだまされて実行させるものとでは、防ぎ方の重心がまるで違います。
この記事では、ウイルス・ワーム・トロイの木馬・RAT・スパイウェアという代表的な分類を、定義の厳密さよりも「何が起きるのか」という挙動の理解を軸に整理します。あわせて、現実のマルウェアがどの経路から入ってくるのか、なぜ「分類が混ざる」現代のマルウェアでも基本対策が効くのかまで掘り下げます。
まず全体像。分類は「増え方」と「正体の隠し方」で整理できる
細かい用語を覚える前に、地図を持っておくと理解が早くなります。マルウェアの分類は、大きく次の2つの軸で眺めると整理しやすくなります。
| 分類 | 自己複製 | ユーザーの実行操作 | 主な目的・挙動 |
|---|---|---|---|
| ウイルス | する(他ファイルに寄生) | きっかけは必要なことが多い | ファイル改変・破壊、他ファイルへの感染拡大 |
| ワーム | する(独立して自己増殖) | 不要なことが多い | ネットワーク経由で自動拡散、踏み台化 |
| トロイの木馬 | しない | 必要(正規ソフトと誤認させて実行) | 裏で不正動作。多様な機能の運び屋になる |
| RAT | しない(トロイの一種) | 必要 | 攻撃者による遠隔操作、情報窃取、追加感染 |
| スパイウェア | しない | 必要なことが多い | 情報収集・送信(入力内容、閲覧履歴など) |
ここで強調したいのは、これらは互いに排他的なラベルではないという点です。日本でいう「コンピュータウイルス」は、経済産業省の「コンピュータウイルス対策基準」において、自己伝染機能・潜伏機能・発病機能のいずれか1つ以上を持つ加害プログラムと定義されており、ワームやトロイの木馬を含む広い概念として使われてきました。一方、技術的な文脈では「ウイルス=他のファイルに寄生して増えるもの」と狭く区別し、ワームやトロイと並列に扱います。
「コンピュータウイルス対策基準」(1990年に通商産業省が告示、後に改訂)における自己伝染・潜伏・発病の三機能の定義は、IPAの届出に関するページから経済産業省の原典を参照できます。
つまり「ウイルス」という言葉は、広い意味(マルウェア全般に近い俗用)と狭い意味(寄生型の一分類)の二通りで使われます。記事や報道で「ウイルス」と書かれていたら、どちらの意味かを文脈で読み取る必要があります。本記事では混乱を避けるため、総称としては「マルウェア」を使い、「ウイルス」は寄生型を指す狭義で用います。
ウイルス。正規ファイルに寄生して増える
狭義のウイルスは、生物のウイルスになぞらえて名付けられたとおり、単独では存在せず、正規のプログラムやファイルに自分のコードを埋め込んで(寄生して)増えます。感染したファイルが実行されると、ウイルスのコードも一緒に走り、別のファイルへと感染を広げていきます。
ウイルスの特徴は、宿主となるファイルが必要なことです。実行可能ファイルに感染するもの、文書ファイルのマクロ機能を悪用するもの(マクロウイルス)などがあります。マクロウイルスは、WordやExcelの文書を開いてマクロを有効化した瞬間に動き出すため、添付ファイルを起点とした攻撃で今も使われます。なお現在のMicrosoft Officeでは、インターネット由来とマークされたファイルのマクロは既定でブロックされますが、古いバージョンやポリシー未適用の環境、マークが外れたファイルではこの保護が効かない点に注意が必要です。
誤解されやすいのは、「ファイルを保存しているだけ」「メールを受信しただけ」では多くの場合は発症しない、という点です。ウイルスは宿主が実行されて初めて動きます。ただし、プレビュー機能や自動実行の設定によっては、ユーザーが明示的に開いたつもりがなくても実行されてしまう経路があり、ここが油断のしどころです。「開かなければ安全」を過信せず、自動実行・マクロの自動有効化を切っておくことが効きます。
ワーム。自分で増え、ネットワークを伝って広がる
ワームはウイルスと違い、宿主となるファイルに寄生しません。それ自体が独立したプログラムとして自己複製し、ネットワークやリムーバブルメディアを通じて、ユーザーの操作をほとんど必要とせずに他の端末へ自動的に拡散します。この「自走する」性質が、ワームを厄介にしています。
歴史的に大きな被害を出したワームの多くは、OSやサービスの脆弱性を突いて、人間が何もしなくても次々と感染を広げました。ある端末が感染すると、同じネットワーク上の脆弱な端末を探して攻撃し、そこからまた広がる、という連鎖が起きます。組織内で1台が感染すると、パッチの当たっていない端末が芋づる式に倒れていくのは、この自己増殖の典型です。
1台のPCがおかしいという連絡から数十分で、同じ拠点の複数台に同様の症状が出始めた。後から見れば、共通して適用されていなかった更新プログラムがあり、そこを足がかりに横へ広がっていた。1台ずつ対処していては追いつかず、まずネットワークから切り離す判断が必要だった。
ワーム対策の重心は、寄生型ウイルスとは異なります。ユーザー教育(開かせない)よりも、脆弱性を塞ぐパッチ適用と、感染時に被害範囲を限定するネットワーク分割(セグメンテーション)が効いてきます。1台の感染を全体に波及させない設計が、ワームには特に重要です。
トロイの木馬。正体を偽って「実行させる」
トロイの木馬は、有用なソフトや無害なファイルを装い、ユーザー自身に実行させることで侵入します。名前の由来であるギリシャ神話の木馬と同じく、見た目は贈り物(便利なツール、求めていた文書)でも、中身は攻撃者のコードです。
トロイの木馬は自己複製しません。ウイルスやワームのように勝手に増えるのではなく、ユーザーをだまして1回実行させることが侵入の鍵になります。だからこそ攻撃者は、本物そっくりのインストーラ、業務に関係しそうな添付ファイル、人気ソフトの偽配布サイトといった、心理的に踏ませやすい入口を用意します。
重要なのは、トロイの木馬は「運び屋」だという視点です。トロイ自体が直接破壊活動をするとは限らず、実行されると本命のマルウェア(後述のRATや情報窃取型、ランサムウェアなど)をダウンロードして展開する、という多段構成が一般的です。たとえば、メールの添付文書を起点に広がったマルウェアEmotetは、感染後にさらに別のマルウェアを呼び込む「運び屋(ローダー)」として猛威を振るいました。
トロイ対策の重心は、人間が「実行する」瞬間にあります。出所の不確かなソフトを入れない、添付ファイルやマクロを安易に有効化しない、配布元の正規性を確認する、といった習慣が直接効きます。技術的にも、未知の実行ファイルの挙動を監視・遮断する仕組みが補助になります。
RAT。攻撃者にあなたの端末の操作権を渡す
RAT(Remote Access Trojan、遠隔操作型トロイの木馬)は、トロイの木馬の一種でありながら、特に危険度の高いカテゴリとして個別に語られます。RATが端末に居座ると、攻撃者は遠隔から、まるで目の前に座っているかのように端末を操作できるようになります。
RATが攻撃者に与える能力は広範です。画面の盗み見、キー入力の記録(キーロガー)、ファイルの持ち出し、カメラやマイクの起動、さらには追加マルウェアの導入まで及びます。RATは「バックドア(裏口)」を作る存在であり、一度入られると、その端末は攻撃者の出先機関のように使われ、組織内部への侵入の足場(橋頭堡)になります。
RATの怖さは、その静かさにあります。ランサムウェアのように派手な要求を出すわけではなく、気づかれないまま長期間潜伏し、情報を抜き続けることを狙います。標的型攻撃では、RATで足場を作り、時間をかけて重要システムへ横展開していく、という筋書きが典型です。
注意
本記事は防御のための仕組みの理解を目的としています。RATをはじめとするマルウェアの作成・配布や、他人の端末への無断インストール・遠隔操作は、不正指令電磁的記録に関する罪(いわゆるウイルス作成罪)や不正アクセス禁止法などに抵触し得ます。挙動の検証や学習を行う場合は、必ず自分が管理する隔離環境、または明示的に許可された対象に限定してください。
スパイウェア。気づかせず情報を集めて送る
スパイウェアは、利用者の意図に反してインストールされ、入力内容や閲覧履歴、アカウント情報といったデータを収集して外部へ送信するマルウェアの総称です。前面に出て破壊するのではなく、裏で静かに情報を集めることに特化しています。
スパイウェアには、入力を記録するキーロガー、画面を撮影するもの、広告表示と抱き合わせで挙動を追跡するもの(不要なアドウェアと境界が曖昧なもの)など、幅があります。「無料ツールに同梱されていた」「規約に紛れ込んでいた」といった、グレーゾーンの入口から入ることも多く、ユーザーが同意した形を装うのが特徴です。
スパイウェアの被害は、その性質上、気づきにくいのが厄介です。ファイルが壊れるわけでも動作が止まるわけでもないため、情報が抜かれていることに長く気づけません。だからこそ、入口での予防(出所不明のソフトを入れない、インストール時の同梱物に注意する)と、通信や挙動の監視による事後検知の両輪が必要になります。
分類より大事なこと。感染経路は意外と限られている
ここまで分類を見てきましたが、現代のマルウェアは1つの分類に収まりません。トロイの木馬として侵入し、RATの機能で居座り、スパイウェアのように情報を抜き、最後にランサムウェアを展開する、といった複合型がむしろ普通です。分類の暗記が防御に直結しにくいのは、このためです。
防御の観点で本当に役立つのは、入口(感染経路)の理解です。多種多様に見えるマルウェアも、入ってくる経路は意外と限られています。
| 感染経路 | 概要と狙い |
|---|---|
| メールの添付・リンク | 文書やリンクを開かせ、マクロ実行やダウンロードへ誘導する古典的かつ主力の経路 |
| Webサイト経由 | 改ざんサイトや偽配布サイトから、閲覧やダウンロードで感染させる |
| ソフトウェアの脆弱性 | 未更新のOS・アプリ・公開サーバの穴を突き、操作なしで侵入する(ワーム的拡散の起点) |
| 正規を装ったソフト | 海賊版や偽インストーラに同梱して実行させる |
| USBなどの外部メディア | 持ち込みデバイスの自動実行などを悪用する |
この表を見ると、対策が「分類ごとにバラバラ」ではなく、経路ごとに共通して効くことが分かります。メール経由には開かせない習慣とマクロ無効化、脆弱性経由にはパッチ適用、いずれにも多層の検知(アンチウイルス・EDR)とバックアップ、という具合です。攻撃者の手口を知る目的も、結局はこの経路を先回りして塞ぐためにあります。中小組織でのソフト選定の考え方は あわせて読みたい 中小企業のセキュリティソフトの選び方。EPPとEDRの違いと運用負荷で考える
メモ
「アンチウイルスを入れているから大丈夫」は半分正解で半分危険です。既知のパターンに頼る検知だけでは、未知の検体や正規ツールを悪用する攻撃を取りこぼします。パッチ適用、権限の最小化、バックアップ、挙動ベースの検知(EDR)といった対策を重ねる「多層防御」が前提になります。
感染が疑われたときの初動
分類を問わず、感染が疑われたときの初動には共通の型があります。慌てて端末を再起動したり、自己流で削除しようとしたりする前に、被害の拡大を止めることを最優先にします。
- 1
ネットワークから隔離する
LANケーブルを抜く、Wi-Fiを切るなどして、その端末を物理的・論理的にネットワークから切り離します。ワーム的な拡散やRATによる遠隔操作、情報の外部送信を止めるための最優先行動です。電源は安易に落とさず、組織では指示を仰ぎます。
- 2
勝手に消さず、状況を保全する
自己判断でファイルを削除すると、原因究明(フォレンジック)に必要な痕跡が失われます。画面の状態や表示されたメッセージを記録し、組織なら情報システム部門やセキュリティ担当へ連絡します。
- 3
認証情報の変更と被害範囲の確認
その端末で扱っていたアカウントのパスワードを、別の安全な端末から変更します。RATやスパイウェアにより認証情報が抜かれている前提で動くと安全です。
- 4
再構築と再発防止
確実なのは、信頼できるバックアップからの再構築です。あわせて、侵入を許した経路(未適用のパッチ、開いてしまった添付など)を特定し、同じ穴を塞ぎます。ランサムウェアが絡む場合の対応は
を参照してください。あわせて読みたい
ランサムウェアの感染経路と被害最小化。初期侵入を断ち、復旧できる備えをつくる
注意
被害の届出と相談には公的な窓口があります。日本では、コンピュータウイルスや不正アクセスの被害をIPAへ届け出る制度が整備されています。組織のインシデントでは、JPCERT/CCやIPAの一次情報、契約先のセキュリティベンダーの指示に沿って対応してください。
よくある質問
「ウイルス」と「マルウェア」はどう違うのですか?
ワームとウイルスの一番の違いは何ですか?
トロイの木馬とRATは別物ですか?
アンチウイルスソフトを入れていれば感染しませんか?
分類の名前を全部覚える必要がありますか?
まとめ
マルウェアの分類は、用語を覚えるためではなく、「増え方」「狙い」「入口」を見極めて対策の重心を決めるための地図です。ウイルスは寄生して増え、ワームは自走し、トロイは実行させ、RATは居座って操作を奪い、スパイウェアは静かに情報を抜く。挙動で押さえておけば、複合型の現代マルウェアにも応用が効きます。
マルウェアの基本理解と対策チェックリスト
- ウイルス・ワーム・トロイ・RAT・スパイウェアの挙動の違いを説明できる
- 自己複製の有無とユーザー操作の要否で分類を整理できている
- 主要な感染経路(メール・Web・脆弱性・偽ソフト・外部メディア)を把握している
- OS・アプリのパッチ適用を継続し、マクロの自動有効化を切っている
- 多層防御(アンチウイルス・EDR・バックアップ・権限最小化)を意識している
- 感染疑い時はまずネットワーク隔離、という初動の型を知っている
分類はゴールではなく入口です。次の一歩として、被害の大きいランサムウェアへの具体的対策( あわせて読みたい ランサムウェアの感染経路と被害最小化。初期侵入を断ち、復旧できる備えをつくる あわせて読みたい 中小企業のセキュリティソフトの選び方。EPPとEDRの違いと運用負荷で考える
出典・参考
関連する記事
ランサムウェアの感染経路と被害最小化。初期侵入を断ち、復旧できる備えをつくる
ランサムウェア被害の大半はVPNやリモートデスクトップからの侵入で起きます。初期侵入経路、二重恐喝の仕組み、そしてバックアップと隔離による被害最小化を、実務で判断できる粒度まで噛み砕いて解説します。
中小企業のセキュリティソフトの選び方。EPPとEDRの違いと運用負荷で考える
中小企業がセキュリティソフトを選ぶときに迷いがちなEPPとEDRの違い、運用にかかる手間、公的支援の活用までを整理。実在する製品を確認したうえで選定の判断基準を解説します。
フィッシングの手口と対策の基本。個人と組織でできることを徹底解説
依然として被害が絶えないフィッシング詐欺について、典型的な手口とその進化、見破り方、個人と組織それぞれでできる対策、そして万一被害に遭ったときの対応までを、専門知識がなくても分かるように網羅的に解説します。