黒木直樹/トレンドマイクロ 上級セキュリティエキスパート

 今回は第2期,1999年~2003年の解説をしよう。

 この時期は,コンピュータ・ウイルスがインターネットで拡散する時代である。「メリッサ」「ラブレター」「コードレッド」「ニムダ」「エムエスブラスト」といったメジャーなウイルスがその名を連ねる。現在でも,一般に認知されているウイルスのイメージは,このころのものではないだろうかというほど,ウイルスが有名になった時期だ。

 1997年のラルーにより,マクロウイルスの危険性が周知のものとなった2年後,1999年3月にワードのマクロウイルスであるメリッサが登場した。これがインターネットを介して全世界に一斉に拡散するウイルスの始まりである。

インターネット・ウイルスの先駆けとなったメリッサ

 当時のトレンドマイクロにとって,メリッサの騒動はそれまでにないインパクトを与えるものであった。ウイルスの発見から,24時間体制でウイルス研究部門,製品開発はもちろん経営陣からセールス,広報まで不眠不休の対応に集中したことを覚えている。なにしろ,時々刻々と世界中から感染報告が増える中で,一刻も早くパターン・ファイルを作成してユーザーに配信するだけでなく,ウイルスの存在と拡散を広く世間に知らせ,無償のオンライン・スキャンに導くことに初めて全社一丸となって取り組んだからだ。

 メリッサは,「Important message from “差出人”」というタイトルのメールにワードの添付ファイルとして侵入してくる(写真1)。これをダブルクリックして感染すると,Outlookのアドレス帳の上から50人に対して,ウイルスのコピーを送り付ける。このメールの受信者は,知っている相手からのメールであるので安心して開封し,添付ファイルをクリックする。そうすると,その受信者も送信者になって……と,ねずみ算式に感染が広がっていく。感染コンピュータに対して破壊的な活動はしないが,とにかくメールを大量送信し続けるため,当時のサーバーやネットワークでは負荷に耐え切れず,システムダウンを起こす企業も多かった。メリッサは,大量のあて先にメール送信を行うワームマスメーリング)の先駆けであった。

写真1●1999年3月に登場したマクロウイルス「メリッサ」
写真1●1999年3月に登場したマクロウイルス「メリッサ」
[画像のクリックで拡大表示]

 このときから,アウトブレークという言葉がインターネット・セキュリティ業界で使われ始めた。ウイルスをできる限り広く拡散させたい作者と,ユーザーに広がる前に食い止めるセキュリティ対策ベンダーの,24時間365日間休むことが許されないスピード競争が始まったのである。

 なお,メリッサの作者である米国ニュージャージー州のクラッカーは,ウイルス発見から7日後にFBI(米連邦捜査局)によって逮捕された。作者は,友人のアドレス帳を盗用し,お気に入りのストリッパーの名前を付けたウイルスをばらまいたようである。また,ウイルス作者が刑事処罰される最初の例となった。

英語にもかかわらず日本でも大流行した“告白メール”

 次のトピックは,2000年5月のラブレター・ウイルスである。2000年問題を乗り越えたIT業界が,いささかほっとしているころにこのラブレターは発見された。

 ラブレターが発見された日,筆者はトラブル対応のため,ある顧客のデータセンターに2人の同僚とともに詰めていた。データセンターでの1泊が過ぎたころ,会社からの携帯電話が鳴る。「電子メールを利用するウイルスが猛威を振るっている。対応のため,至急会社に戻れ」と言う内容であった。データセンターで夜を明かした筆者は,事情が飲み込めず,「どんなウイルスですか」と聞くと,電話越しに聞こえた言葉が「アイラブユー」だった。

 ラブレター・ウイルスは,Visual Basic Scriptで記述されたスクリプト型ウイルスである。電子メールのタイトルが“I LOVE YOU”となっており,ファイルが添付されている。この添付ファイルをクリックすると,コンピュータのパスワードを特定のサイトに送ったり,Outlookのアドレス帳に記録されたすべてのあて先に自らの複製を送り付けたり,ハードディスク内の特定の拡張子のファイルにウイルス自身を上書きして破壊したりする。

 先のメリッサと同様のマスメーリング活動を引き起こすが,アドレス帳のあて先を全部利用したり,ファイル破壊をしたりとメリッサよりも凶悪である。電子メールのタイトルが日本人でも分かりやすい“I LOVE YOU”であったせいなのかは定かではないが,メール本文が英語のメールであったにもかかわらず,日本国内での感染も多かった。コンピュータ技術ではなく,ユーザーを欺いてクリックを誘導するソーシャル・エンジニアリングの先駆けともいえる。

 ラブレター・ウイルスは,米国の大手企業,軍などにも大きな損害を与え,FBIまで捜査に乗り出す大きな事件となった。FBIは,発生から1週間足らずでフィリピンの専門学校生を容疑者として逮捕した。

オートマチックな感染活動で人々を震撼させたコードレッドとニムダ

図のタイトル
写真2●2001年9月に世界的に猛威を振るった「ニムダ」
[画像のクリックで拡大表示]
 2001年7月にアウトブレークしたコードレッド(CODERED)は,ハッキングとウイルスを組み合わせた新しい攻撃で,その影響力はセキュリティ業界を震撼させた。

 コードレッドは,マイクロソフトのWebサーバー・ソフト「IIS」のセキュリティ・ホールを狙ったHTTPアクセスを試み,セキュリティ・ホールを持ったサーバーを発見すると,ウイルス・プログラムを送り込む。ここまでがまさにハッキングの手法であり,この攻撃に成功すると,ウイルスがそのままWebページの改ざん,DoS攻撃,コンピュータのハングアップなどをもたらした。

 その2カ月後の2001年9月には,複数感染経路を有するニムダが世界的に猛威を振るいだす(写真2)。

 ニムダもInternet Explorerをはじめとして,複数のセキュリティ・ホールを悪用する。感染活動は非常に厄介で,電子メール送信,ネットワーク・ドライブへのウイルス・ファイルのコピー,IISを使用したWebサーバーへの侵入など,ネットワークを利用した様々な方法で増殖するため,広まるのが非常に速かった。

 電子メール経由の感染では,ユーザーの環境により電子メールをプレビューしただけでも感染してしまう。もちろん,このウイルスによって電子メールが送信されても,送信の履歴は残さない徹底ぶりである。さらには,システムの破壊活動を行うこともあり,ファイルの拡張子を見えなくしたり,特定の属性のファイルを表示しないようにしたりして,感染状態を一目では分かりづらくする活動も行う。

 この時期になると,多くの企業のネットワーク化も進み,電子メールのインフラも整ってきた。ニムダは,メールでもWebでもネットワークにつないでいるだけで感染するため,インターネットが整備された環境下で猛威を振るう結果となってしまった。

 これ以降,(1)セキュリティ・ホールを悪用する,(2)ユーザーの操作を介さない,(3)ファイル共有やメールといった経路以外で侵入する---といった条件を備え,オートマチックに感染活動を行うプログラムは「ネットワーク・ウイルス」と呼ばれ,以降のセキュリティ対策における強敵となっていくのである。