A
新たにウイルスが発見されると、セキュリティ専門家たちが名前を付けます。ベンダーごとに付けられているため、基本的には統一名称がありません。その後に亜種が出ると機械的に番号(アルファベット)が割り振られます。ただし、特に注意を喚起すべきと認識されたウイルスについては、その特徴を反映させた別名を付ける場合があります。また、マスコミやネット掲示板などで付けられた通称が一般化することもあります。
「ガンブラー」という名前を持つウイルスをご存じでしょうか。2009年から2010年にかけて国内で猛威をふるったウイルスです。数多くの大企業のホームページや個人サイトなどが感染してその内容が改ざんされ、不正なスクリプトが埋め込まれました。
当時この「ガンブラー」が世間をにぎわせたのは、被害の甚大さもさることながら、その名前が「ガンプラ」(=「機動戦士ガンダム」のプラモデルの略語)と似ていたことも一因に挙げられます。何しろそのとき、普段はあまりウイルスに関心を持たない人でも「ガンブラー」を話題にしていました。
しかし、大半のウイルスの名前は、こうした特殊な名前を持ちません。何しろウイルスは大量に発生しています。例えば2015年10月20日にESETのシグニチャは6回に分けて配布されましたが、その総数は317件に上りました。もちろんこれが全ての新種ウイルスの発生数ではありませんが、少なくとも、注意が必要なものとしてアップデートされている数は、単純計算で年間にするとおよそ10万種に上ることになります。
こうしたウイルスには「MSIL/TrojanDropper.Agent.AKH」「Win32/Dridex.P」「Win32/TrojanDownloader.Waski.Z」というような形で名前が付けられています。では「ガンブラー」とは何かというと、実はこれは「通称」であり、セキュリティベンダーが付けた正式名称ではありません。
それではセキュリティベンダーが付ける名称はどのような構成になっているでしょうか。上記の例を見ると、大きく3つのブロックから構成されていることが分かります。ベンダーごとに少しずつ異なっていますが基本は一緒です。
1)動作環境を示す略号
2)個別名称(またはファミリー名)
3)連番で付けられる亜種番号
例えば「MSIL/TrojanDropper.Agent.AKH」であれば、「.NET」で動作するウイルスでファミリーとしては「トロイの木馬型」に属し、「ドロッパ―」として他のウイルスをインストールするもので、亜種としては「A」から順番に振られ「AKH」番目のもの、ということを意味します。
動作環境については、以下のような略称が用いられています。
ACAD: Windows OSで動作、AutoCADファイルを使ったもの
ALS: Windows OSで動作、AutoCaDのスクリプトを使ったもの
Android: Android OSで動作(スマートフォンやタブレット)、近年増加傾向にある
BAT: Windows上の処理を自動化するプログラムであるBATファイルを使ったもの
HTML: インターネットブラウザに表示させる
INF: Windows が持つ自動再生機能で使用されている Autorun.inf を利用したもの。USBメモリなどで利用されている
IRC: Windows OSで動作、インスタントメッセンジャーIRCを使ったもの
J2ME: Windows MobileまたはSymbianで動作
Java: Javaで記述されたもの
JS: JavaScript言語で実行され、多くはHTMLページに埋め込まれている
LINK: Windows OSで動作、「.LINKファイル」を使ったもの
Linux: Linux OSで動作
MSIL: プラットフォームに依存せず、「.NET」(ドットネット)言語によって作られたプログラムをコンパイル変換した環境で動作、ただし主にWindows OSで動作する場合が多い
OSX: Mac OS Xで動作
Perl: Apple OS X、OpenBSD、FreeBSD、Microsoft Windows(Cygwin経由)、Linux(ARM Linuxを含む)で動作
PHP: Windows OSで動作、インターネットのブラウザ経由で脆弱性を突く
PowerShell: Windows OSで動作
Python: Windows OSで動作
SWF: Windows OS、FLASHの動画ファイルを使ったもの
VBA: ExcelやWordなどのマクロと呼ばれるプログラミング言語を使ったもの
VBS: Windows OSで動作。VBScriptで書かれている
Win32: 32ビットのWindows OSで動作、発生しているウイルスのおよそ99%を占める
Win64: 64ビットのWindows OSで動作
ちなみに「Eicar」は、セキュリティ製品が正しく動作しているか調べるために使用される特定のプログラムコードの検出名です。
なお、ファミリー名称には「Trojan」(トロイの木馬)系のほか「Worm」(ワーム)、「Spy」(スパイウェア)、「Exploit」(エクスプロイト)、「Adware」(アドウェア)などがあります。
こうした規則さえ理解すれば、ウイルス名を見ただけでどういった性質のものなのか、大まかな理解が可能になります。サイバーセキュリティ情報局ではESETの情報を基に月別のウイルスの動向を記事として随時まとめていますので、これを機会に、例えば下記の[関連情報]をご覧いただければ、よりウイルスへの理解が深まると思います。
