Macintosh のコンピュータウイルス

Macintoshは米国アップルコンピュータ社の商標です

E-mail: Design室秋山智

Auto Start 9805 について

98年5月20日現在， Auto Start 9805 という新種のウイルスとその変種が発見され，かなりの範囲での被害が予想されます． Auto Start 9805 とその変種に関する情報は（予防，発見，除去法など）は

Macintoshトラブルニュース

に記していますので参照して下さい．特に関連記事一覧中の（重要）と記されている記事を参照願います．

ウイルスではないかと思ったとき

冷静になる
いくつかのウイルスは全データを消去しているというようなメッセージを出すことがある．しかし，実際にそのようになる場合はほとんどなく，うそのメッセージを表示するだけである．（同じように表示する冗談ソフトもある）あわてないように．

▼

ウイルスの確認
このファイルのウイルスの検知と除去-アンチウイルスプログラムなどにしたがってウイルスを確認する．確認できない場合はウイルスではないと考えた方がよい．

▼

処置を行う
アンチウイルスプログラムで処置し，ウイルスを除去する．

▼

感染の拡大を防ぐ
感染の可能性のあるところに直ちに処置法を含めて告知する．影響のおよばない範囲まで警報しないこと

最初に

もし，あなたが自分でもウイルスを作ろうかと考えたならば次のことを考えていただきたい．

病院で生命維持装置のコンピュータがウイルスに汚染されていたらどうなるか．

幸いにもこれまで Macintosh のウイルスで悪質なものは大変少なかった．ウイルスが話題になったことが過去にあったが， Macintosh では Disinfectant というフリーウェアが普及しウイルスは大きい問題にならなくなっていた．ところが，1995年から発生した Microsoft のマクロに関連する新種のウイルスが広く影響を及ぼし始めた．これらは Windows で動作する害意のあるウイルスであるが，特徴的なこととしてその一部が Macintosh でも動作するのである．これまで他のプラットフォームのウイルスは Macintosh に影響は及ばず， Windows などの悪質なウイルスの話も対岸の火事であったのだが，それら害意のあるウイルスが Macintosh に侵入してきたのである．（ただし，その影響力は限定されることが多い）

問題なのは，これまで広く用いられてきた Disinfectant がこの新種のマクロウイルスに対応していないことである．それは，マクロウイルスが Disinfectant が対応してきたような機械語レベルでのウイルスではないからである．これ以外にもマクロウイルスにはこれまでと異なった特徴がいくつかある．

また，インターネットの普及によりメールによるファイルの添付や，FTPなどがごく普通に行われ， Java などの特殊な実行環境はセキュリティなど新たな問題を生起させる可能性があるだけでなく，ウイルスの伝播やデマの発生などこれまで経験しなかったような事態を生んでいる．

Macintosh ユーザはこれまでと異なった対応が必要とされている．

私はウイルスについて有用な内容を書けるわけではない．これまで，私がウイルスに実際に直面したことは，皆様からの情報からウイルスであると断定し関与したことまで含めても4回しかない（ウイルスではなかったケースは数知れずだが）．私はプログラマでもなければ，ハードウェアのデザイナーでもない，仕事で否が応でもコンピュータを扱い始めなけれなならなくなったどこにでもいる人間である．
それでもこのようなものを公開するのは，上記のように新しい事態に立ち入り始めているにも関わらず，他に日本語で読めるこのようなものがほとんどないこと，特に Macintosh について書かれたものが少ないことが理由である．私より適当な方が私のこのページに代わる確かなものを作成していただけることを望んでいる．

97年4月6日

コンピュータウイルスとは

コンピュータウイルスはインフルエンザなどの病気をおこすウイルスではない．コンピュータウイルスはプログラムの一種であり，ゲームやワープロなどと同様，コンピュータのメモリに展開され処理される，人為的に作成されたデータの一種である．したがって，何らかの物理的な外観をもった「物」や「生物」ではない．

コンピュータウイルスはコンピュータや周辺機器を物理的に破壊することはない．通常のトラブルでも起こり得るエラーを起こすもので，通常のトラブル対策でも最善の方法であるバックアップがあれば元に戻せる性格のものである．必要以上に恐怖する必要はない．
コンピュータウイルスを作成し，他人のデータを改変することは犯罪である．
（以下，ウイルスという語をコンピュータウイルスのこととして書いていく）

ウイルスとは，他のプログラムまたはファイルに自己の複製を作るプログラムであると説明されている．

Fred Cohen の定義
a COMPUTER VIRUS is a computer program that can infect other computer programs by modifying them in such a way as to include a (possibly evolved) copy of itself.

このように定義される場合，トロイの木馬と呼ばれる種類のプログラムは自己の複製を作らないため，ウイルスと言えないことになる．しかし，トロイの木馬もウイルスと同様に扱われることが多い．
したがって，ここでは，他のプログラムやファイルにユーザが意図しない（自己増殖を含む）改変，予期しないエラーをもたらすように意識的に作られたプログラムとして扱いたい．

ウイルスは，アプリケーション，システムなどの実行可能コードを実行するか，マクロなどのスクリプトを含んだファイルを開くか，感染したディスクをマウントし他のディスクにファイルのコピーを行うかすることで感染する．

感染は他のプログラムに自己を複製することである．ウイルスのプログラムには次の「ウイルスの徴候」に書いたような変なメッセージを表示させたり，ディスクのデータを書き替えたりするプロセスが含まれていることがある．

ウイルスの徴候

Disk Data の消去
変なメッセージの表示，挿入
ビープ音，変な音声メッセージ
ワープロなどでのデータの置き換え
ヴォリューム，フォルダ，ファイル名称の変更
ファイルサイズがいつのまにか増えている
Microsoft Wordでの不審な現象
システムエラー
など

上記以外にもウイルスによって徴候はさまざまである．詳細は主な Macintoshウイルスの症状と影響を参照願いたい．

ウイルスプログラムは意図した影響を与えるものの他，ウイルスプログラムの不備から意図しないシステムエラーなどの結果をもたらすものが大変多い．

ウイルスの分類

通常のウイルス

これまでいわゆるウイルスと呼ばれてきたものである．機械語レベルで増殖するように書かれたもので，作成には専門的な知識を必要とし，プログラマのような専門家でなければ作成することはできない．したがって，出現頻度は高くない．

Macintosh のこれらウイルスに悪質なものは少なく，実際に悪質なウイルスに感染するケースは極めてまれである． Macintosh では nVIR が比較的多く見られるが，これはファイルの消去，書き換えなどを行わない比較的軽い症状のものである．

Disinfectant はこれら機械語レベルのウイルスには全て対応している．

トロイの木馬

自らは感染増殖能力を持たず，木馬と呼ばれる仮のプログラムを装って，ユーザに起動させるようにしている．ユーザが起動することで発症する．

木馬は，ゲームや，有用なプログラム，ユーティリティの形を表面上装っている．例えば，テトリスのようなゲーム，中国語をしゃべるようにするなど． Disinfectant は基本的に対応していない

症状など凶悪なものがあるが，実際にそれらが出現することはきわめてまれである． Macintosh では MBDF というトロイの木馬が見られることがあるが，ファイルの消去，書き換えなどは行わない比較的軽い症状のもので，Disinfectant がこれには対応している．

マクロウイルス

現在のところ， Microsoft社の Word に関して1995年から多く現れている新種のウイルスである． Excel のマクロウイルスも存在し，種類はまだ少ないものの今後は増加すると見込まれている．

これらは従来のウイルスやトロイの木馬と異なる点をいくつか持っている．機械語レベルではなく，スクリプトレベルで作成され， Visual Basic 対応，OLE 対応のアプリケーション，プラットフォームで感染するという性質がある．

Wordマクロウイルスは大変な勢いで種類が増加しており，今後の対応が求められている．（毎日3-4種，ひと月に100種以上．しかもますます増加傾向にある） Windows で動作するために書かれたものがほとんどで Macintosh プラットフォームを最初から狙ったものはなく， Macintosh では事情の違いによりデータの削除などはほとんど起きないが，Word 英語版で感染は起き，一部実害がある．

このウイルスの特質から Disinfectant は対応してない．

このウイルスについては特に Microsoft のマクロウイルスという項目を設けているので詳細を参照されたい．

HyperCardウイルス

Microsoft Word マクロウイルスと同様，機械語レベルとは異なるスクリプトレベルのウイルスで， HyperTalk によって作成されている．
したがって，HyperCard スタックから感染し， HyperCard スタック間で感染することがほとんどである．HyperCard を使用していない場合は感染の恐れはない．

Disinfectant は機械語レベルのウイルスに対応しているという基本的な特質から実行可能コードを持たないほとんどの HyperCard ウイルスには対応していない．また，1995年4月以降にいくつかの HyperCard ウイルスが出現したがそれらにも当然対応していない．きわめてまれである．
詳細は主なウイルスの症状と影響に記述してある．

Worm

単に自己の増殖を図るだけのもので Unix で発見された． Macintosh にこの種類があるのかないのか，私は知らない．

感染

ウイルスは感染したファイル（アプリケーション，システム，データファイル）を実行する（メモリに展開する）か，感染したディスクをマウントしコピーを行うことで，他のアプリケーション，システム，データファイル， Desktop ファイルに感染する．感染するとは，他のファイルのプログラムまたはデータに自己の複製を書き込むということである．
ただし，トロイの木馬は自己の複製を作らない．木馬となるプログラムを実行することでその中に潜む有害なプログラムが実行される．

感染するケースをもう一度箇条書きにする

■ 感染したアプリケーションの実行
■ 感染したシステムからの起動
■ 感染した実行可能なスクリプトを含むファイルを開く
■ 感染した Desktop ファイルを持つディスクをマウントしコピーを行う

以上のことは，次のことを意味する．

■ 単なるデータファイルからの感染はありえない
（メールを開くだけでは感染しない）
■ 感染したシステム，アプリケーションであっても実行しない限り感染しない
■ ロックされたディスクに感染することはできない

ウイルスのプログラムの一般的プロセス

ウイルスは通常次のプロセスでプログラムを実行する．

起動される
▼
自己の複製を作る
▼
システムのクロックを確認
▼
特定の日付でなければそのまま終了し，
特定の日付であれば，プログラムを実行する

Desktop に巣くうタイプのウイルス（ CDEF, WDEF ）はディスクをマウントしコピーを実行することで感染するが，それ以外はプログラムを実行（またはシステムから起動）しないことには感染しない．疑わしいファイルは開かなければ感染の恐れはないし，感染したシステムからはそのシステムから起動しなければ感染しない．
また，どちらにしても，ロックされたディスクに感染することは，書き込む事ができないために不可能である．

ネットワークからの感染

AppleTalk

AppleTalk でファイルやディスクを共有している場合，サーバかクライアントが感染していると感染する可能性がある．
アプリケーションを共有している場合，そのアプリケーションが感染していれば，それを開いたクライアント側のメモリに展開されるわけであるから，開いたクライアントの他のプログラムなどに感染する．また，クライアント側のシステムが感染していれば，サーバに書き込むプロセスで感染する．ディスクの共有でも同様である．

このようなネットワークでの共有からの感染を防ぐにはサーバを書き込み禁止にすることである．

インターネットからの感染

メールやWWW，FTPを使用して感染することはありうる．しかし，単にメールを開いたり，WWWページをブラウズしたり，FTPから圧縮データを入手するだけでは感染しない．つまり，メールやWWW，FTPは感染ファイルを転送する手段としてしか感染に関われない．これら自体が感染しているということはありえない．

メールからの感染

インターネットを通じてメールを使用することで感染することはありうる．しかし，メールを受け取ったり，メールを読むことでは感染しない．メール自身は感染源にはならず，単なる感染した添付ファイルの転送手段としての意味しかない．
もしもメールを読むことで感染するというウイルスがあるという警告を受け取った場合，現在そのようなものは発見されていないので，それは悪質ないたずらかそれにだまされたメールである．

メールからの添付ファイルによる感染は実行可能コードまたはマクロを含む添付ファイルを展開し実行することで感染する．したがって，添付ファイルを開くことには慎重にならなければならない．（添付ファイルが転送されてハードディスクに書き込まれるだけでは感染しない）

自動的に感染ファイルを添付して使用者のメールアドレスに送りつけるウイルスは存在する．現在， Microsoft Word のマクロウイルスの一種がこのタイプのウイルスとして見つかっている．メールを開くことだけでは感染しないが，添付された書類を英語版 Word 6.0以降で開くことで感染する．（ ShareFun.A ）

WWWからの感染

インターネットを通じてWWWページをブラウズすることで感染することはない．しかし，ページからファイルをダウンロードし，そのファイルが感染していると，そのファイルを開くことで感染する．

ウイルスではないが， Microsoft Internet Explorer 3.0，3.01にセキュリティホールがあり，それを利用した悪質なページがあって，そこにアクセスすることで致命的なエラーを引き起こすファイルをアクセスしたコンピュータに植え付けるものがある．今後，このような形式の害意あるスクリプトを含むページは問題となってくるだろう．

FTP

ダウンロードしたファイルが感染していた場合，それを復元し実行することで感染する．ダウンロードしただけでは（ファイルは圧縮されていることもあり）感染しない．

ネットニュース

バイナリーファイル（アプリケーションやプログラム．この場合，そのようなものを公開するニュースグループで公開されているファイル）を受け取ってデコードし，それを実行した場合，そのバイナリーファイルが感染していれば感染する．そんなケース以外で感染することはない．もちろん，記事を開いたり，読んだりして感染することは考えられない．そのような話は，メールを開いたら感染するというのと同種のデマである．

他プラットフォーム間の感染

ウイルスは， DOS, Windows の動作する環境でその多くが作成された． Macintosh のウイルスは少ない．これまでは Wintel で動作するウイルスは Macintosh には感染しなかった．また，逆に Macintosh で動作するウイルスは Wintel で動作しなかった．つまり，異なったプラットフォーム間で感染することはなかったのである．しかし，例外がある．

Microsoft Word などのマクロウイルス

Word マクロウイルスは， Word のファイルの互換がきくプラットフォームでは全て感染する．現在，英語版 Word では感染する．日本語版には感染しない．
Word 以外では Excel と Lotus で発見されている． Excel では Windows 上で日本語版にも感染するが， Macintosh 用日本語版では感染しない．

このウイルスについては特に Microsoft のマクロウイルスという項目を設けているので詳細を参照されたい．

Windows, DOSエミュレーション環境

昨今， Wintel アプリケーションを実行する環境が可能となってきている．このことは Wintel ウイルスを動作させる環境であるということになる．SoftWindows か DOS compatibility card のような Windows エミュレーション，DOSエミュレーション環境上で Wintelウイルスに感染したファイルを実行することでその Macintosh は Wintelウイルスに感染する．ただし，それは，あくまでも Wintel 環境で使用している範囲での Macintosh であって，同一の Macintosh でも Macintosh OS 下には感染したものは影響しない．

ウイルスと紛らわしいケース

Welcom to Data comp

ワープロ書類にキーボードから入力中，タイプしていないのに "Welcom to Data comp"という文字列が入力される．

これはウイルスでなく，そのキーボードの ROM のバグである．テックパーツ社の MacWay という製品の Macintosh 用キーボードの初期出荷製品にこのバグがある．（不良キーボードは交換してくれる）

参考：テックパーツ
〒101　東京都文京区湯島3-14-2　ナツキビル3F
TEL 03-5688-1937　FAX 03-5688-1994

奴等がウヨウヨいるぞ!

OpenDoc 初期設定ファイルを開こうとすると出る EasterEgg （この場合は隠しダイアログ）である．CyberDog 初期設定でも出るとの情報もいただいている．ウイルスではない．アップルではウイルスと紛らわしいために陳謝し，新しいバージョンの OpenDoc, CyberDog では出ないようにすると言っている．

ウイルスと紛らわしいケース-デマ（ Hoax ）

Good Times

Good Timesというウイルスの警報は悪質なデマである．

「E-mail を通じて感染する Good Times というウイルスがあって， Subject が Good Times というメールを読まないように多くの人にメールして下さい」というウイルスの警報のメールは，多くの善意の人をだましてチェーンメールをさせることを目的としたデマである．

Good Times はそのメールを開くとハードディスクが消えるとか CPU がバイナリーループで壊れるとかいうウイルスであると説明されているが，開くだけで感染するメールのウイルスとかハードウェアを壊すというようなウイルスは発見されていないし，その可能性を考えることは大変困難である．（のであり得ない）

Psychic Neon Buddha Jesus

インターネット上で，あるページのボタンをクリックするとこのようなウイルスが Javascriptによって検知されたと出るという．冗談である．

PKZIP300

この名称のトロイの木馬は存在するが，実際に発見は大変困難であって，流される警告は噂だけが一人歩きしたデマである．そもそも，このトロイの木馬は DOS で C ドライブをフォーマットするなどいうのだが，そのようなコマンドは Macintosh には有効ではない．また，この噂が広がる中でいつのまにかモデムに感染するというような性質が付加されていることがあるが，そのようなウイルスはありえない．

Irina

ペンギンブックスの小説の広告にウイルス警報を出したことからから広まったという．デマである．

Ghost

もともとは Windows 用のスクリーンセーバであったらしい．そのプログラムは，通常は小さいウィンドウの中で幽霊と小鬼が動くのであるが，13日の金曜にはウィンドウの外に出て動きまわるようにできているらしい．このことが一部の人にトロイの木馬でないかという誤った確信を与えてしまい，デマウイルスとして広まった．

Deeyenda

GoodTImes と同様 E-mail によって伝染するというデマ．

Penpal Greetings

GoodTImes と同様 E-mail によって伝染するというデマ．

メールを開くだけで感染するウイルス

上記 GoodTImes，Deeyenda， Penpal Greetingsに限らず，受け取ったメールを開く（読む）だけで感染するというのはデマウイルスである．

ネットニュースを読むだけで感染するウイルス

このようなウイルスは実際にはない．

モデムに感染するウイルス

このようなウイルスは実際にはない．

JPEG,GIF ファイルを通じて伝染するウイルス

このようなウイルスはない．メールで添付されたファイルとしても， JPEG,GIFに限らず純粋なデータファイルからウイルスを感染させることはできない．

ウイルスの検知と除去

ウイルスはそのプログラムを開かなければ（ Desktop ァイルに感染するタイプでなければ）感染しない．ディスクに書き込まれても感染前に発見し，除去すれば被害はない．もしも，感染した場合も除去できるが，ウイルスの種類によってはデータを破壊するので元に戻すことは困難なことがある．

ウイルスに対処するためにはウイルスが入ってこないように予防することが第一であるが，もし侵入してきた場合は，次のようなことで異常を知り，検知できる．

1．コンピュータの動作異常（ウイルスの徴候参照）
2．ウイルス検知プログラムを使用する

アンチウイルスプログラムの種類

現在，主に使用されているウイルス検知プログラムは以下のものである．

Disinfectant

ノースウェスタン大学 John Norstad 氏の手になる Macintoshユーザに広く用いられているフリーウェア．これまでの Macintosh ユーザへの貢献は評価しきれない．検知と同時に除去も行える．大変優れた信頼のおけるプログラムであるが，次に述べるように限界があり，マクロウイルスなどには効果がない．（詳しくはDisinfectant の限界を参照）
最新バージョンは各 Info-Mac の /vir にある．（例えば，大阪大学 Info-Mac ミラー，理研 Info-Mac ミラー）また， Macintosh 関連情報雑誌の付録 CD-ROM に収録されていることが多い．

Norton AntiVirus

Symantec 社のプログラム．検知と除去．製品としては広く使用されている．頻繁にウイルス定義ファイルが更新され (通常は月末ごと)，マクロウイルスなど全てに対応している．
ウイルス検知のみ行える評価版を Symantec から入手することができていたのだが，今回，改めて調べてみたら評価版の配布は行われていなかった． Symantec から発売されていた SAM というプログラムはサポートされなくなった．

Virex

Dr. Solomom社の検知，除去プログラム． Macintosh では製品版としては SAM と双璧をなす．頻繁にウイルス定義ファイルが更新され，全てのウイルスに対応している．

VirusScan

Network Associates 社（旧 McAfee 社）の Macintosh では比較的新しいプログラム．
この製品の Macintosh 対応版は Disinfectant の作者の John Norstad 氏所属のノースウェスタン大学からライセンスを受け，さらに，マクロウイルスなど，全てのウイルスに対応するべく発売されていた．この製品について，初期の頃であるが，マクロウイルスを実際には発見できなかったと書かれていたものを私は WWW 上で読んだことがあるし，マクロ対応は疑わしいと記したウイルス情報ページが存在している．

この製品は評価版が FTP から入手できる， Macintosh 関連情報雑誌の付録 CD-ROM に収録されていることもある．

アンチウイルスプログラム実行時の注意

ウイルス検知除去プログラム（アンチウイルスプログラム）の実行には次の注意が必要である．

■ 最新のバージョンを使用する．
製品版はウイルス定義ファイルを最新のものにする必要がある．

■ ロックされたフロッピーディスクから起動する．
ウイルス検知プログラムもアプリケーションであるため，感染を被る可能性がある．
通常の定期的なスキャンを行う場合はハードディスクから起動してもよいが，感染が明らかな場合には感染したコンピュータからではなく，あらかじめ用意して置くか，感染していないコンピュータで作成したフロッピーディスクをロックして起動する．

■ 検知記録の保存
もし，発見された場合，アンチウイルスプログラムでの検知などの記録はセーブ（保存）しておく．ウイルスが発見されたとき，多くの場合は動転してすぐ除去するため，後になって一体どのウイルスであったか憶えていないということがままある．それだけでなく，アンチウイルスプログラムの記録は感染源の特定にも必要なことなので必ずセーブしておく．（自分のとった行動全てを記録しておくとよいともいわれている）

ウイルス定義ファイルとは，製品版アンチウイルスプログラムでは，新種のウイルスが発見されたときに Disinfectant のようにアプリケーション本体をアップデートするのではなく，ウイルスの特定のデータ配列を記したこれらファイルをアップデートすることで対応するためのもの．この種のアンチウイルスプログラムではこのウイルス定義ファイルを最新のものにしておくようにする必要がある．

ウイルスの特定

アンチウイルスプログラムでウイルスが確認された場合，ウイルス名が明らかになるが，症状等が一致するかどうか確認した方がよい．また，ウイルスではないかと疑える場合もウイルスを確認する必要がある．

Disinfectant の Help には詳細なウイルスの解説があるのでそれを使うか，主なウイルスの症状と影響一覧から検索するほか，情報源にあるリンクからウイルスデータベースをたどって特定する．これらの作業は単に除去するだけではなく，被害がどこまで及ぶものか知り，データの回復法，感染源の推定，ウイルス告知の範囲を知る上でも必要なことであろう．

症状からウイルスを特定するには主なウイルスの症状と影響一覧や各データベースで検索を行う． Disinfectant の Help はそれができないが，方法がある．
Disinfectant を起動して Help を表示させメニューから Save asで保存すると Disinfectant 3.7 Manual というファイルができる．これをエディターやワードプロセッサなどで開き，それらの検索機能を使用すればよい．(バージョン3.3について日本語訳がされている)

感染源の特定と告知

ウイルスが確認された場合，除去を行うが，同時に感染源を特定する必要がある．

外部からデータを何らかのメディアを通じてコピーした場合など思い当たることがあれば当然それを考える．
また，アンチウイルスプログラムなどで感染したデータを走査した際，ウイルスが感染する場合ファイルを書き替えることから，感染したファイルの修正日が感染源を特定する手がかりとなる．感染したファイルが複数見つかったときに，（感染したファイルを書き替えていない限り）そのうち最も古い修正日のファイルが感染源である可能性が高い．（ただし，ZUC, Frankie, MBDFウイルスは修正日を変えないのでこの限りではないし， Desktopに感染する WDEF, CDEF にも当てはめられない．）

次の図は Disinfectant の検知，除去結果（架空の設定）である．これを見ると修正日の最も古い "Infected Sample "が感染源である可能性が高い．

感染源が特定できた場合は，出所に対して告知すべきである．また，感染の可能性がある範囲にも告知を行ってしかるべきであろう．ただし，不特定多数のネットニュースなどで告知することはいたずらに不安やチェーンメールをもたらすこともあるので慎重にしなければならない．

通産省ではウイルス被害のあった場合，情報処理振興事業協会（IPA）に連絡することと規定している．また，ここにはウイルス110番がある．（03-5978-7509）

DOSの世界の話で Macintosh には関係ないのだが，私は過去にある国内有名メーカーがウイルスに感染したパッケージを販売してしまって，そのことを隠して単にバージョンアップのお知らせだけ出した例を知っている．今後このようなことがないことを望みたい．

ウイルスの除去とデータの回復

最も確実な方法はディスクなどの感染した記憶装置のイニシャライズとバックアップデータからの復元である．（RAM への感染は電源を落とすことで消えることは通常のコンピュータの常識通りである．逆に言うと感染したコンピュータの電源を落とさない限り感染し続ける）ディスクなどに感染することからフロッピーディスクまで感染の可能性のあるものは全て検知し除去する必要がある．

アンチウイルスプログラムは感染源のウイルス及び感染を被ったシステムやアプリケーションから感染部分を除去する．したがって，アンチウイルスプログラムによる除去でもよい．しかし，この方法では確実に元のようにデータが回復しないケースがある．例えば，リソースを書き替えるタイプやデータを書き替えるウイルスはアンチウイルスプログラムで除去はできてもデータは破壊されたままである．

また，ウイルスが侵入したシステムは不安定になることがあり，フリーズ，ハングなどでユーザがリセットをすることがある．このことにより，ハードディスクの管理領域などに異常をきたすという被害が伴うことがある．これらについてはディスク修復の一般的な手順に依って回復する．（ディスク診断修復プログラムの使い方を参照いただきたい）

Disinfectant の限界

Disinfectant は評価しきれないほど有用なフリーウェアのアンチウイルスプログラムであった．作者の John Norstad 氏は新しいウイルスが発見されたらこれまで通り2-3日で対応する新バージョンを出すと言っている．これはあくまでもこれまで Disinfectant が対応してきた種類のウイルスに関してであって，今日問題になっているマクロウイルスはこの範囲ではない． Disinfectant は機械語レベルでプログラムされた実行可能コードをもつ種類のウイルスを対象としている．したがって，実行可能マシンコードを修正することではなく、データファイルを修正するマクロウイルスにはこれまでの方法では対応できないのである．

このこと以外にも Disinfectant には限界がある．マクロウイルスも含め，以下に箇条書きする．

■ マクロウイルスに未対応

■ 圧縮されたファイルには未対応

■ 多くのトロイの木馬に未対応

■ いくつかの HyperCard ウイルスに未対応

Disinfectant は万能ではない．特にマクロウイルスには未対応である．しかし，従来の用途については依然として信頼のおけるプログラムであることに何ら変わりはない．

予防と備え

情報処理振興事業協会（IPA）は【感染防止七箇条】として以下の項目を上げている．

1．身元不明のフロッピィディスクは使用を避ける．
2．市販ソフトウェアは必ず使用許諾に従って使用する．
3．フリーソフトウェアは入手経路を確認して使用する．
4．オリジナルプログラムにはライトプロテクトを施し安全な場所に保管する．
5．外部から持ち込んだハードウェアは初期化してから使用する．
6．不特定多数の人とのハードウェアやフロッピィディスクの共用を避ける．
7．ワクチンは信頼できるものを使用する．

予防

■ ディスクの対策
ウイルスに感染するケースは現在でも大半が外部からのフロッピー他のディスクからである．したがって，これらの使用，特に不特定多数が使用するような環境での感染には留意し，なにがしかの対策が必要であろう．

ディスクの対策としては市販のアンチウイルスプログラムはたいていディスクを読み込む際にスキャンするのでこのようなプログラムを使用するか，ディスク挿入を禁止する，挿入できないようにする，などがある．また，マクロウイルス一般については，感染する可能性のあるアプリケーションを使用せず，インストールしなければ全く心配はない．

■ インターネットの対策
メールに添付された書類，FTPしたファイルでアプリケーションやマクロを含む可能性のあるファイルはアンチウイルスプログラムで走査してから開く．

■ サーバの対策
サーバでディスクを共用する場合，書き込み禁止にする．

■ 定期的なスキャン
定期的にアンチウイルスプログラムで走査する．

■ 盲点
Disinfectant には限界がある．
Macintosh 上でWindows, DOSエミュレーション環境では全くWindows, DOS と同様のウイルスの環境にもなるということである．ウイルス対策は Windows, DOS のものをしなければならない．

■ 意識の向上と教育
多くの人がコンピュータを使用している場所等では成員全体の意識の向上が必要である．

備え

■ バックアップ
私はまず，バックアップをとることを何をさておいても言いたい．どんなウイルスでもディスクをイニシャライズすれば除去できる．ウイルスによってはアンチウイルスプログラムで除去できてもデータは破損するものがある．これらに備えてバックアップがあれば問題ない．定期的なバックアップはウイルス以外にも必要なことである．

バックアップはよく言われるように複数必要で異なった場所に保管するようにするが，特にウイルスの場合はある程度の日数差をおいた同一ディスクのバックアップをすすめたい．これは，ウイルスがいつ侵入したか分からない場合や，ウイルスには潜伏期のあるものが多いことから，最新のバックアップでは既に汚染されていて気がつかないままバックアップしたような場合への対策である．

■ アンチウイルスプログラムの用意
日頃，ウイルスを走査するのに必要である．ウイルスではないかと思ってからアンチウイルスプログラムを入手するようでは感染の拡大を招くこともあろう．単独のマシン環境では， MO やフロッピーなど別ディスクに用意して置いて，（できれば起動システムを組み込んで）ロックしたものを用意したい．

日本の被害状況

最新の日本での被害状況については IPA （情報処理振興事業協会）が報告書を毎月公表している．

Word マクロウイルスの被害が増加傾向にあることが分かる．

実際の具体的な被害としては Macintosh ではないが，ある会社の作成した CD-ROM に感染ファイルがあった．また，某大手コンピュータメーカーが感染していた．（トラブルニュース参照記事）後者は感染した Excel のファイルをメールで添付して被害が広がったという．これらは Windows のMicrosoft マクロウイルスである． Macintosh のものとしては，あるページで配布していたユーティリティが感染していた例などがある．

Microsoftのマクロウイルス

■ ExcelのウイルスはMacintosh には英語版，日本語版とも感染しない． Windows 日本語版の Excel には感染する．

■ 現在のところ， CAPなどの例外はあるが，ほとんどの Wordのウイルスは Macintosh 日本語版 Word には感染しない． Windows 日本語版にも感染しない．英語版はMacintosh 版 Word に感染する．

■ 感染は Word においてであり，システムや他のアプリケーションには関係がない．つまり， Word や Excel を使用しない環境には全く何の影響もない．

■ Macintosh で感染した場合，被害，症状は出ないことが多いが，感染したMacintosh 英語版 Word で作成したファイルを Windows に渡すと，元通り凶悪な症状を起こす．

（感染とは自己増殖マクロを含むスクリプトを書き込む事である．被害，症状はデータ消失などそのスクリプトなどが原因となる実害，徴候である．英語版 Wordの場合， Macintosh の英語版 Word のテンプレートに自己増殖マクロと被害の出るマクロを書き込むが，被害を出すマクロのスクリプトは Macintosh では有効ではないことが多いので発症，被害は少ない．しかし，感染した状態で作成されたファイルはこれらマクロウイルスが書き込まれるため Macintosh では発症しなくても，Windowsで開いた場合，感染，発症が元通り行われる）

■ Macintosh でもSoft Windows ，DOSコンパチカードなどの実行環境では感染し，発症，被害が出る．

現在のところ， Microsoft社の Word に関して1995年から多く現れている新種のウイルスである． Excel のマクロウイルスも存在し，種類は極めて少ないものの今後は増加すると見込まれている．（ほかにも Lotusで発見されている）

これらは，従来のウイルスやトロイの木馬と異なる点をいくつか持っている．そのもっとも大きい特質は機械語レベルでのプログラムではないということである．MS Word では MS Word 6 から独自のマクロ言語 WordBasic を組み込んでいるが，このような特定のアプリケーションなどで使用されるスクリプトレベルの言語で書かれたウイルスプログラムである．これらマクロ言語は機械語レベルのハードウェアやメモリ管理に関する知識なしに比較的簡単に習得できる．また，このウイルスが発生し始めた初期にウイルスの研究としてソースプログラムが公開されてしまった．それを模倣してたくさんの変種が生まれ始めたという特殊な経緯があった．そのため，毎日変種など，3-4の MS Word ウイルスが生まれていると言われ，対応が難しい状況を作り出している．

MS Word には v.6 からマクロ機能が組み込まれた．このマクロで破壊的なスクリプトを作成し，実行されるようにすることで作動する． MS Word はファイルをいくつかのプラットフォームで互換できるようになっている．つまり同じスクリプトが動作する．したがって，そのようなプラットフォーム間の MS Word で感染可能である．また，将来的には， Visual Basic対応，OLE対応のアプリケーションにまで被害が広がっていく可能性がある．

Microsoft Word document macro virusesには次のような説明がある． DMV や Wazzu などの汎用マクロで書かれたものだけが各国語バージョンの Word にマクロを翻訳することができるが，英語で書かれたマクロウイルスは他のローカライズされた各国語バージョンの Word では働かない．

このうち， Wazzu は日本語版で動作しないことが分かっている． DMV 以外は日本語で動作する可能性のあるものはほとんどなかった．

しかし，1997年2月に発見されたという CAP は日本語版で動作し，日本で発見されている．以下，Macintoshトラブルニュース記事を抜粋する

●Microsoft Wordマクロウイルス CAP.a

McAfee-Jadeでは WM.CAP.a として，日本語版 MS Word に感染，発病するマクロウイルスを告知している．破壊的な影響はそれほどないのであるが，日本語版で感染，動作するという点がこれまでのものと異なっている． Macintosh でも同様に発病，感染するかどうかは不明である．

私はこれまで日本語版に感染する Word マクロウイルスはほとんどないとしていた．依然として大多数の Word マクロウイルスは日本語版 Wordに感染しないことは同じであるためそのことに大きい変化はないのだが，実際にこのウイルス被害（Windows日本語版）をご報告いただいているのでその点がこれまでと異なった事態であり，多少状況が異なってくる可能性があるかも知れない．

CAPはほとんどの WWW上のウイルスデータベースに収録されていない．上記以外ではData Fellows' Virus Information）にあるだけだが，ユニバーサルタイプとは書かれていない．情報処理振興事業協会（IPA）の報告書ではこのウイルスの被害報告はまだ出ていない．
（追記：1997年5月9日発表4月分の「コンピュータウイルス被害届出状況」で報告された）

Microsoft Word マクロウイルスにはローカライズされた各国語版の Wordでユニバーサルに動作するものと，主に英語版のみで動作，感染し，日本語版には影響のないタイプがある． Concept をはじめとしてほとんどのものは英語版のみで感染，動作するものであり，ユニバーサルに感染，動作するものは大変少ない．McAfee-Jadeの告知を考えるとどうも CAP はその少ない例のようであり，注意を要する．

Microsoft マクロウイルスは必ず Wordなどのテンプレート書類となる． CAPも例外ではない．従って，Wordなどでテンプレートの書類を開くときには慎重にすべきである．

Macintosh では感染を被った Wordの書類（それはすなわちテンプレートになってしまうということであるが）はアイコンが変化する．通常の書類を作成したのにテンプレートアイコンになっている場合は感染の可能性がある．（このようなアイコンの変化で感染を知ることができるのは Macintosh ユーザだけが受けられる恩恵?のようで Windows ではこの方法で感染を知ることはできないらしい）これまでこのページで書いてきたように， Wordを使用しない環境では全く何の心配もない．

また，今後， Windows 日本語版で作成されたマクロウイルスが出現しないとは誰も言えない．幸いなことにこれまで Macintosh 用ウイルスを日本人が作成したことはない．今後も Macintosh ユーザからウイルスマクロを作成するような者が出ないことを私は信じている．

英語版 MS Word は起動すると自動的に normal.dot というテンプレートを開く．マクロはこのテンプレートに保存されるようになっているために，マクロウイルスは normal.dot にマクロを追加する．ユーザは英語版 MS Word を開くたびにこの normal.dot を開くことになるため，次々に感染していくことになる．

これらの性質から MS Word マクロウイルスには次の特徴がある．

■ 感染源は必ずテンプレート書類となる．
■ 保存した文書ファイルはテンプレートとしてしか保存されない．
■ 感染したファイルのマクロを見ると作成したことのないマクロが追加されている．

これらの特質から次の予防方法が考えられる．

■ MS Word 6以降（あるいは MS Office）を使用しない．
スクリプトは単独では動作せず， MS Word が起動しなければならない．また，感染ファイルは MS Word で開かない限り意味がない．
■ テンプレートを Normal.dot 以外に指定する，ロックして書き換えできないようにする．
■ 書類がテンプレート（のアイコン）になっているものを開くときには注意する

Microsoft は Protection Tool （ mvtool1222.hqx）を配布しているが，これはウイルスを除去するものではなく，感染ファイルを開こうとするときにマクロのあるファイルを開くかどうか選択させるだけのものであるらしい．（単にマクロを含んだファイルを開くときに聞くものなので，マクロウイルスの検知ができるわけではない）また， Macintosh に関しては，手順の中で感染ファイルを開いたり保存するプロセスが必要で，そのことで感染してしまうという話も聞いている．

WORD Macro Antivirus (PC/MAC)は Padgett's Home Page で配布されているフリーウェア．最近のことなので評価は未知数．Microsoftの Protection Tool （ mvtool1222.hqx）と同様，マクロウイルスを検知除去するものではなく，マクロがあるファイルを一律に警告するようである．

感染を防止する一般的マクロ

Microsoft Word document macro virusesには次のマクロを追加することで一般に感染を防止できるとしている．（ただし，現在発見されている全てのマクロウイルスに対して有効とは言えないと断っている）

Sub MAIN
        DisableAutoMacros
        MsgBox "AutoMacros are now turned off.", "Virus protection", 64
End Sub

以上のスクリプトをツールメニューのマクロを選択し， "AutoExec"という名称にして保存する．

Laroux（ExcelMacro/Laroux）

このマクロウイルスは日本語版Windows Excel にも感染動作する．しかし，以下に書くように Macintosh では感染，動作しない．
日本では97年1月に1000台のコンピュータに感染した過去最大規模の被害報告がある．

Larouxは1996年7月に発見されたもので，感染（自己のコピーを複製する）のみで，破壊的なファイルへの悪影響等はない．感染したExcel文書ファイルを開くと XLSTARTデイレクトリに個人用マクロブック Personal.xlsという名称のファイルを作成し，このファイルにlarouxという名称でウイルスのマクロ（非表示設定）を記録する． Personal.xls は Excel起動時に使用されるため，もし，感染していれば，その時に開かれた Excelファイルにlarouxマクロを追加し，感染する．これらのプロセスで Macintoshでは Personal.xlsを書き込む際のディレクトリの記述の仕方が DOSとは全く異なるので DOSの記述に基づいては動作できないように私には思える．（もしかしたらマクロエラーが出る程度か？）

MicrosoftではMicrosoft Excel Virus Information （米国），および Microsoft Excel - マクロウイルス情報（日本）のページを設けているが， Macintoshについては記されていない．これらのページによると，英語版の Windows版 Excelで感染したファイルは Windows版 Excel 5.0以降日本語版上で感染する．（が，もともと Macintoshでは感染しない）対処法などこれらのページに記されているので Windowsの Excelユーザは参照されたい．

Microsoft Excel macro viruses（Data Fellows Virus Information Centre. Excelマクロウイルスの説明）

ShareFun.A

Microsoft Word Macro ウイルスの一種．

このウイルスは MS Mail を使用している場合， "You have GOT to read this!" という subject で自動的に感染ファイルを添付して送信するという．受信した側が添付ファイルを MS Word で開くことによって感染する．

Word の Macro ウイルスは Word を使用していない場合には感染のおそれは全くない．また， Word で感染ファイルを開いたりしなければ問題にはならない．

Network Associates (McAfee) による ShareFun.A の告知（リンク切れ）

情報源

以下のようなウイルス関連サイト
ニュースグループを見る

comp.virusbr
Alt.comp.virus
comp.sys.mac.apps， comp.sys.mac.comm， comp.sys.mac.misc， comp.sys.mac.systemなど
fj.sys.macなど

Disinfectant の Help は大変有用である．いざというときに全文読むことはなかなかできないので普段から読んでおきたい．(バージョン3.3について日本語訳がされている)

Viruses and the Mac FAQ
David Harley氏による数少ない Macintosh の観点からのページ

Mac Virus（ニュースは Mac Virus: News）

SARC - Mac Virus Info
SAM開発元の Macintoshウイルス情報． Macintosh に特化したものとしては日本語で唯一読めるもの．私のものよりも信頼がおけるのでぜひ参照いただきたい

SARC - Macintosh Virus Information
同 Macintosh ウイルス関連トップページ

SARC - Computer Virus Information
同 Symantec AntiVirus Research Centerトップページ

SARC - FAQ
日本語

SARC - ウイルスデータベース

CIAC
Computer Incident Advisory Capability．ウイルス警報が出る．

マイクロソフトオフィスマクロウイルス対策情報
マイクロソフト社によるもの

WORDマクロウィルスの発見、駆除、予防

コンピュータウイルス対策
情報処理振興事業協会（IPA）ウイルス110番：03-5978-7509

主なワクチンメーカー及びウイルス対策情報掲載Ｗｅｂサイト一覧
情報処理振興事業協会によるもの

EICAR

NCSA

Virus Bulletin

Index of /SECURITY/txt/
IPA 報告書．最新の被害状況，ウイルスの説明．有用

Microsoft Word document macro viruses
Wordマクロウイルスについてもっとも分かりやすい説明がある

Microsoft Excel macro viruses（同 Excelマクロウイルスの説明）

Word FAQ
WordマクロウイルスについてのFAQ

McAFee RTP /mac
McAfee 試用版 Macintosh 用

ネットワークアソシエイツ（旧マカフィー）
Network Associates (McAfee) のアンチウイルスプログラム VirusScan for MAC 発売元．ページではウイルス情報など一般的な情報がある．

WildList
WildList とは現在被害が出ているウイルスのリストである．最新の情報が含まれる

Joe Wells' Wild List Notes WildList

Good Times Virus Hoax FAQ
Good Timesデマウイルスについて

Good Times virus hoax - Mini FAQ-J
Good Timesデマウイルスについて（日本語訳）

SARC - Download Updates
SAM アップデータ

Update Virex Now!
Virex アップデータ