トレンドマイクロが,ウイルス対策ソフト「ウイルスバスター」を発売したのは1991年のことだ。そのパッケージの裏面には,対応している73種のウイルスの名前を全て記載していた。しかしいまや,パターン・ファイルに登録されているウイルスの名称は20万を超え,パッケージの裏面にはとても載せきれない。
皆さまもご存知の通り,パターン・マッチングによるウイルス検出には,パターン・ファイルと呼ばれるウイルスの特徴が記述されたデータベースが用いられる。ウイルス対策ソフトがダウンロードするものがこれであり,このパターン・ファイルが更新されることで新種のウイルスにも対応できるわけだ。このパターン・ファイルを見ると,2008年4月は1日当たり約400種の新しいウイルス情報が登録され,1カ月で29回の更新が発生している。振り返って2001年4月は,1日当たり約20種,1カ月で6回だけの更新であった。
コンピュータ・ウイルスの歴史は20年あまりの短いものではあるが,その変化は目まぐるしいものであった。トレンドマイクロの創業は1988年,日本にオフィスを構えたのは1991年のことである。まずは,コンピュータ・ウイルス黎明期のエピソードから始めよう。
社内のパソコンが一斉に「アルプス一万尺」
当時,コンピュータ・ウイルスはまだ一般的なものでは無く,その存在を知らない人も多かった。ましてや,ウイルス対策に意識の高い個人や企業も多くはなかった。ある種,UFOと同じような空想世界の産物という認識に過ぎなかったかもしれない。
このため,我々のようなセキュリティ・ベンダーが営業でお客様に製品紹介をする前には,必ず「コンピュータ・ウイルス」とはどのようなものかを長々と説明する必要があった。当時の営業担当者がある企業に訪問した時のこんなエピソードがある。
初めて訪問したお客様先で先方の担当者は,こちらの説明を聞いてくれたものの,ウイルスなんてよく分からないものは当社には関係ないと断言し,対策製品には全く興味を示さなかった。営業担当者があきらめて,その会社を後にしようとしたそのとき,社内のパソコンが一斉に「アルプス一万尺」を奏ではじめた。先方に聞いてみると「ちょっと前から,なぜか午後5時になると毎日鳴るんだよ」とのこと。これがまさにウイルス感染によるものであった。
「これがコンピュータ・ウイルスですよ!」と営業は身を乗り出して説明し,社内中のパソコンがウイルスに感染していることを先方に納得してもらうことで,その場で注文書をいただいた。
この,アルプス一万尺を奏でるウイルスは,「Yankee Doodle」と呼ばれるものである。今となっては笑い話だが,当時のコンピュータ・ウイルスに対する一般の認識はその程度だったのだ。幸いにもこの「Yankee Doodle」は愉快犯が作成したウイルスで,音楽を奏でる以外に害はない。しかし,もしこれが破壊型のウイルスであったら……。先方の担当者もこれを機に,急にウイルスは他人事でなくなったようだった。
世界初のウイルス「パキスタンブレイン」
世界最初のコンピュータ・ウイルスは,1986年に確認された通称「パキスタンブレイン」というシステム領域感染型のウイルスであった。システム領域感染型とは,OSが起動する前のシステム領域に感染するタイプのウイルス。元々は,パキスタンのソフトハウス(ブレイン社)が,自社製のプログラムの違法コピーを警告する目的で作成したため凶悪なウイルスではなかったものの,拡散する過程で何者かによって破壊的なプログラムへと改変されていった。なお,ブレイン社は今もパキスタンに存在する。
そもそも,このようなプログラムはなぜ「ウイルス」と呼ばれるのであろうか。
それは,これら不正プログラムの一連の動作が,「感染」「潜伏」「発病」という特徴を持つ点から自然界のウイルスと似通った動きをするためである。1984年9月にフレドリック・コーヘン博士が米国のセキュリティ学会で発表した論文の中で「コンピュータ・ウイルス」という言葉を使用したのが最初であると言われている。
インフルエンザ・ウイルスを例に取ってみよう。感染者からの飛沫感染などにより体内に取り込まれたウイルスは,おおよそ2~3日の潜伏期間を経て発症する。潜伏期間,何の自覚症状もなかったキャリアは,ひとたび発症すれば高熱や体の痛みに苦しむこととなる。
コンピュータ・ウイルスも,ネットワークや記録メディア,電子メール,Webページ閲覧など,様々な方法でコンピュータに感染する。この時期のウイルスの特徴であり,また人間界のウイルスと酷似した点であるが,何かのイベント(例えば,有名人の誕生日や祝日など)までただじっとパソコン内に潜んでいる。しかし,いわゆるXデーがやってくれば,音楽を鳴らしたり,画面に文字を表示したり,システムを破壊したり,活発に活動し始めるのである。
 |
| 写真1●実行すると花火のアニメーションを表示するトロイの木馬「Happy99」 |
ところで,日本初のコンピュータ・ウイルスというものをご存知だろうか。
それは,1989年11月に発見された「メリークリスマス」であると言われている。このウイルスは,12月25日のクリスマス当日に画面上に「A Merry Christmas to you」と表示するものである。このウイルスも,感染後,12月25日が来るのをじっとパソコン内で待ちかまえ,12月25日になったらメッセージで驚かせるといった,当時のウイルスの典型的な動作をとるものであった。
ただし日本初のウイルスとしては,シャープのパソコン「X68000シリーズ」に感染するものがこれ以前に確認されたという説もある。
ある意味,このころのウイルスは可愛いもので,いわゆる愉快犯的に,音や文字で感染者を驚かせることを目的としたものが大半を占めていた。例えば花火のアニメーションを表示するウイルスを,「きれいだから」といって大勢の友人に送ったユーザーもいたくらいである(写真1)。今にして思えば,のどかな話である。
発症日前日にパソコンの日付を先に進めて発症回避
黎明期に流行したウイルスとして,まず挙げられるのが1991年の「ミケランジェロ」というシステム領域感染型ウイルスである。実際,このウイルスによる日本での感染報告は,発見から数年後であったように記憶している。インターネットのないこの時代は,ウイルスが海を越えて広がるにはかなりの時間を要したのだ。
90年代前半のウイルスで主なタイプは,システム領域感染型ウイルスやファイル感染型ウイルス,トロイの木馬であったが,この頃に最も報告が多かったのはシステム領域感染型である。
当時はパソコン通信があったものの,ファイルを交換するような通信速度はなく,ファイルをやり取りするのはおおむねフロッピー・ディスクだった。また,フロッピー・ディスクからパソコンを起動するケースも多く,ついフロッピー・ディスクを入れていることを忘れ,そのままシャット・ダウンしてしまうことが良くあったものだ。このとき,フロッピー・ディスクにシステム領域感染型ウイルスが潜んでいると,次に起動した際にウイルスも同時に実行され感染してしまうのである。特に「ミケランジェロ」は,ハードディスクをフォーマットするなど破壊的な活動を行うため,ユーザーに目に見える打撃を与えた。
この「ミケランジェロ」もそうだが,特定の日付や時間で発症するプログラムも多かったため,企業で駆除作業が追いつかない場合には,発症日前日に人海戦術でパソコンの日付を先に進める作業をしたことを覚えている。
ただ,このころからウイルス作者とセキュリティ・ベンダーの終わりなき戦いは始まっていた。あるファイル感染型ウイルスをベンダーが発見し,パターン・ファイルに登録すると,今度はウイルスを暗号化して検出を逃れようとする作者が出てきた。次はベンダーが暗号化されたファイルごと検出するパターンを作成する。すると,感染のたびに暗号化の形式を変更するポリモーフィック型ウイルスが現れた。そもそもパターン・マッチングという方式は,基本的に事後の対応にならざるをえない。それをルールベース方式による未然の検出で補完していたのである。
