エフセキュアにいただくお問い合わせの中には、ウイルス対策ソフトの更新を怠っていたために不幸にしてウイルス感染してしまったお客様からの相談もあります。大抵は、改めてウイルス対策ソフト使って駆除が完了すれば、問題はなくなります。ですが、最近は手の込んだウイルスも増えており、ウイルス対策ソフトで何度駆除してもPCを起動するたびにウイルスが検出されてしまうケースも聞きます。この結果、泣く泣くWindowsを再インストールしたというお客様もいらっしゃるようです。今回は、ウイルス感染したPCを復旧する際の注意事項について考えてみたいと思います。
ポイントはウイルスの感染場所
そもそも、ウイルスはどこに感染するのでしょうか?PCはハードウェアとソフトウェアで構成されますが、ソフトウェアであるウイルスが感染するのは同じくソフトウェアです。もっとも、PCのソフトウェアにはいくつかの種類があります。これは、ユーザーに近いほうから
- アプリケーションを動かす Windowsのユーザーモード
- Windowsのコア部分であるカーネルモード
- OSを起動するためのマスターブートレコード (MBR)
- PCのデバイス自体をコントロールするBIOS
に分類できます(図)。これらはすべてソフトウェアで構成されるコンポーネントなので、ソフトウェアであるウイルスが寄生できるのです。
そして、どの部分にウイルスが感染するかによって、PC復旧のための対策ポイントが変わります。
ユーザーモードの感染 ~ アプリケーションレベルで対応可能
Windowsのユーザーモードは、基本的にはユーザーがインストールしたアプリケーションが実行される空間です。この空間は、例えるとユーザーのための仮想マシンのようなもので、WindowsのOS本体からは隔離されています。このアプリケーションは、管理者権限を持つユーザーであれば、コントロールパネルから自由に削除することができ、OSの動作そのものに影響を与えることもありません。
ウイルスも、多くはアプリケーションとして動作し、ユーザーモードで動作しています。この空間で動作するウイルスは、アプリケーションと同様に削除することで基本的にPC上から排除できます。利用中のアンチウイルスソフトなどを使って、ウイルスに関連するファイルと関連するレジストリなどを削除することで完全削除が可能です。
カーネルモードの感染 ~ OSレベルでの復旧が必要な場合も
カーネルモードは、すべてのデバイスやメモリに直接アクセスできる高い特権をもった空間です。実際にPCに搭載されたデバイスを扱うデバイスドライバや、ファイルのI/O(入出力)、CPUへの命令などを直接になっており、OSの根幹をなしています。この空間で動作するモジュールは、ユーザーモードで実行されるアプリケーションやOSの動作そのものに影響を与えます。デバイスドライバが壊れれば、対応するデバイスは利用できなくなりますし、そのデバイスを利用するアプリケーションは利用できなくなるといった具合です。
カーネルモードで動作するウイルスの代表的なものにルートキットがありますが、詳細は本連載の第7回「知っているようで知らない?ルートキットのすべて」を参考にしてください。
カーネルモードで動作するウイルスの場合、OSの動きそのものにかかわるため、簡単にファイルを削除すればよいというものではありません。ウイルス感染したファイルを安易に削除すると、ブルースクリーンとなってWindowsそのものが立ち上がらなくなってしまうこともあります。
ウイルス対策ソフトは、OSの動きを理解した上でウイルスを駆除するため、通常は問題なく駆除します。ですが、駆除したはずのウイルスが繰り返し検出されてしまう場合もあります。これは、そのウイルス対策ソフトでは、完全駆除できないことを意味します。こうなったら、ウイルス対策ベンダーのサポートセンターに連絡し、指示に従ってウイルス病巣そのものを駆逐して、初めて完全駆除ができたことになります。
ただし、ウイルスの種類によっては、それでも完全削除できないこともあります。こうなると、OSの再インストールから行なわないとダメな場合もあります。
この連載の記事
-
最終回
TECH
セキュリティの根本はインシデントに備えた体制作りから -
第54回
TECH
マルウェア感染の被害を抑える「転ばぬ先の出口対策」 -
第53回
TECH
マルウェア感染を発見した際の初期対応 -
第52回
TECH
ついに成立したサイバー刑法に懸念点はないか -
第51回
TECH
施行されたサイバー刑法における「ウイルス作成罪」の内容 -
第50回
TECH
サイバー刑法が過去に抱えていた問題点 -
第49回
TECH
ウイルス作者を取り締まるサイバー刑法ができるまで -
第48回
TECH
医療ICTの今後の広がり -
第47回
TECH
重大な情報を扱う医療ICTのセキュリティ対策 -
第46回
TECH
医療ICTの柱「レセプト電算処理システム」の仕組みと問題 -
第45回
TECH
医療分野で普及が進む電子カルテシステムの課題 - この連載の一覧へ