コンピュータウイルス（表記揺れ：コンピューターウイルス[注 1]、英: computer virus）とは、マルウェア（コンピュータに被害をもたらすプログラム）の一種で、自立せず、動的に活動せず、プログラムファイルからプログラムファイルへと静的に感染するものを指す。
概要

日本語では、一般に医学・医療や生物学上の原義のウイルスと混同するおそれがない場合、単に「ウイルス」と呼称することが多く、日本工業規格（JIS X0008「情報処理用語-セキュリティ」）でも「ウイルス」（羅: virus）としている[注 2]。

具体的には感染先のプログラムファイル（『宿主』と呼ぶ）の一部を書き換えて自分のコピーを追加し （感染）、感染した宿主のプログラムが実行されたときに自分自身をコピーするコードを実行させることによって増殖していくというものである。

それ自身は独立して実行可能なプログラムではなくプログラム断片であり、他のファイルに感染することによって初めて機能を発揮できる。そのため、あるシステムからあるシステムに感染しようとするときには宿主となるファイルが必要であり、フロッピーディスクなどのリムーバブルメディアや、電子メールの添付ファイルを経由して感染することが多い。

感染しても以前から存在していたファイルのサイズがわずかに増加したようにしか見えないか、あるいは、まったく何も変化がないように見せかけるので、ウイルス対策ソフトがないと発見は困難である。後者はMS-DOS時代にMS-DOSをフックするなどして実現していたものが多く、難しい。しかし、GUIファイラなどではファイルサイズを1バイト単位で表示しないものも多く、そういった場合、前者の発見も困難である。

ウイルスが含まれたプログラムファイルは「ウイルスに感染している」といわれる。感染したファイルを（多くの場合、感染していることを知らずに）複製することによってウイルスが広がっていく様子が、生物と同様の特徴を有するウイルスの増殖する様子に類似することからこの名前がついた。

コンピュータウイルスの感染を阻止したり感染したウイルスを検出したりする技術を「アンチウイルス（anti-virus）」と呼び、それらを支援するソフトウェアを「アンチウイルスソフトウェア」「ウイルス対策ソフト・ワクチン」などと呼ぶ[注 3]。

日本においては、2011年（平成23年）の刑法改正で新設された「不正指令電磁的記録に関する罪」として、感染能力の有無にかかわらず「人が電子計算機を使用するに際して、その意図に反する動作をさせるべき不正な指令」などを作成することを犯罪と規定している。

日本でコンピュータウイルスを感染させる行為をした場合、電子計算機損壊等業務妨害罪、偽計業務妨害罪、器物損壊罪、電磁的記録毀棄罪、信用毀損罪、業務妨害罪などの規定が適用される可能性がある。電子計算機損壊等業務妨害罪が適用された場合、5年以下の懲役または100万以下の罰金に処せられる。ウイルスに感染した被害者から損害賠償を請求された場合は、作成者はさらに多額の賠償をしなければならなくなる。自分のコンピュータがウイルスに感染したが対策をとらず、他のコンピュータに感染を広げてしまった場合も賠償の責任を負う可能性がある。

さらに、2003年（平成15年）3月、法務省は、サイバー犯罪条約の批准要件を満たすためウイルスの作成・所持を犯罪構成要件とする「ウイルス作成罪」を新設する方針を発表した。2004年（平成16年）2月、ウイルスに関する刑事罰を盛り込んだ刑法改正案を国会提出。その後、継続審議、廃案、再提出を繰り返しながら、2011年6月に情報処理の高度化等に対処するための刑法等の一部を改正する法律が国会で可決成立し、2011年（平成23年）7月に施行された。正当な理由がなく無断で他人のコンピューターにおいて実行させる目的でウイルスの「作成」「提供」「取得」「保管」した場合の刑事罰（不正指令電磁的記録に関する罪）を規定した。

アメリカ合衆国などではウイルスの作成者の情報に多額な懸賞金がかけられ、作成者が逮捕されることも多い。米マイクロソフトはMSBlastワームとSoBigウイルスの作成者逮捕につながる情報に、25万ドルずつの報奨金を懸けている。2004年5月、ドイツの警察はSasserを作成したとして18歳の少年を逮捕した。

企業がウイルス対策を怠って、取引先にウイルスつきのメールを送ってしまった場合、信用問題、訴訟問題に発展する可能性がある。

ユーザを驚かせるために作られた感染能力や破壊能力のないジョークプログラムはコンピュータウイルスに含まれない。ウイルス対策ソフトも駆除しないが一部のジョークプログラムはウイルス対策ソフトで駆除される場合もある。ただし、ウイルス対策ソフトによる誤検出（false positive）が、時折問題になるほどには起きており、またその被害に遭っているソフトが有名でないといった場合に、一部ウイルス対策ソフトメーカーが対応を渋るなどといった問題も起きている。「潜在的に迷惑なアプリケーション」も参照
コンセプトウイルス

セキュリティホールに代表されるバグなどについての問題提起のため、技術的な実証実験に用いられるコンピュータウイルス。ハードディスクの内容を変更したり、データを消したりといった危険な挙動はしないが、コンピュータに存在するセキュリティホールを利用して感染拡大する。技術的な問題点を知らしめるために、匿名の技術者が故意に漏洩させたり、一部のコンピュータウイルス製作者が、蔓延するかどうかを試す際にインターネット上で無差別に撒き散らされたりすることもあるが、稀に技術試験的な意味合いで製作されたものが、予期せずインターネット上に流布されてしまうことがある。危険な挙動はしないとはいっても、リバースエンジニアリングによって、後から他のクラッカーなどにより危険な機能を追加されて再配布されることもあり、これらコンセプトウイルスに感染し得るコンピュータは、さらに悪質なウイルスに感染しやすいといえる。
公的定義

JIS X0008「情報処理用語?セキュリティ」における定義は、「自分自身の複写、又は自分自身を変更した複写を他のプログラムに組み込むことによって繁殖し、感染したプログラムを起動すると実行されるプログラム」である[2]。

また、「コンピュータウイルス対策基準」（通商産業省告示、最終改定平成12年）[3]による定義は次のとおりである。

「第三者のプログラムやデータベースに対して意図的に何らかの被害を及ぼすように作られたプログラムであり、 次の機能を一つ以上有するもの。
自己伝染機能 自らの機能によって他のプログラムに自らを複製又はシステム機能を利用して自らを他のシステムに複製することにより、他のシステムに伝染する機能

潜伏機能 発病するための特定時刻、一定時間、処理回数等の条件を記憶させて、発病するまで症状を出さない機能

発病機能 プログラム、データ等のファイルの破壊を行ったり、設計者の意図しない動作をする等の機能
」

ウイルス以外のマルウェア詳細は「マルウェア」を参照

ウイルス以外のマルウェアについて、ウイルスとの違いなどを簡単に述べる。
ワーム詳細は「ワーム (コンピュータ)」を参照

それ自体が独立して実行可能なプログラムであり、プロセスとして活動し続ける点と、他のシステムへの感染にファイルを必要としない点がウイルスと異なる。ネットワークを介して、攻撃先のシステムのセキュリティホールを悪用して侵入することが多い。
トロイの木馬詳細は「トロイの木馬 (ソフトウェア)」を参照

一見有用なアプリケーションであるが、その一部にコンピュータのデータを盗み出すなど、ほかの不正な動作をさせる機能を備えたもの。破壊目的のものや、情報を集めることが目的のスパイウェアなどさまざまなものがあるが、そういった目立つ動作をすればするほど見つかって有名になり削除されるため、密かにわかりにくい動作をするものほど実質的な悪質性は高いともいえる。ユーザが自らの意思でインストールしてしまうことになるが、利用規約にコンピュータの情報を集めてベンダに送信することを示しているソフトウェアもあり（ただし、しばしば何万文字もある巨大な文章の片隅にきわめてわかりにくく書いてあったり、送信自体も通常の通信に紛れて送ったりするようなものもある）どこまでがトロイの木馬なのか明確な基準はない。ほかから感染したためにそうなったのではなく、本初からそうなっている点がウイルスと異なる。

2005年（平成17年）には、日本国内でも、不正ソフトウェアを仕込んだCD-Rを、正当な送り主（銀行）を偽装してネットバンキングサービスのユーザに送りつけ、不正送金を実行させた事件が発生した。一部マスメディアではスパイウェアだとして報道されているが、有用なソフトウェアであるかのように見せかけてインストールしたことからトロイの木馬が近い。また、同年11月には、ソニーの関連会社Sony BMGが、音楽CDの変種であるコピーコントロールCDに導入したPC用再生ソフトウェアがルートキットに該当するとして問題になった（ソニーBMG製CD XCP問題）。