コンピュータウイルスとランサムウェアの歴史

読了 8分

最近は「ランサムウェアに感染した病院が診療を停止した」というニュースも、それほど珍しくなくなりました。誰かが自分のファイルをすべて暗号化し、金を払えと脅迫することが実際に起きる時代です。ところが、こうした悪意あるプログラムは最初から金銭を狙っていたわけではありませんでした。その始まりは、むしろ好奇心といたずらに近いものでした。

今日はコンピュータウイルスが初めて世に登場した1971年から、世界中を揺るがした2017年のランサムウェア騒動まで、悪意あるプログラムがどのように進化してきたのかを時系列でたどっていきます。この記事は、以前書いたハッカーとは何かの姉妹編だと考えていただければと思います。

まずは用語から整理します #

本格的に話を始める前に、よく混同される用語をいくつか軽く押さえておきます。これらをまとめて「マルウェア(malware)」、つまり悪意あるソフトウェアと呼びます。

  • ウイルス(virus): ほかの正常なファイルに自分のコードをこっそり埋め込んで広がるプログラムです。感染したファイルを実行して初めて活動を始めるため、生物のウイルスが宿主に寄生する姿に似ています。
  • ワーム(worm): ほかのファイルに寄生せず、自らネットワークを伝って広がるプログラムです。ユーザーが別途何かを実行しなくても、勝手に隣のコンピュータへ移っていきます。
  • トロイの木馬(trojan horse): 役に立つ正常なプログラムのふりをして、ユーザー自身にインストールさせる手口です。自ら複製はしませんが、いったん入り込むと裏口を開けておきます。
  • ランサムウェア(ransomware): ユーザーのファイルを暗号化して使えなくしたうえで、解除する代償として金銭を要求するプログラムです。身代金を意味する英語「ransom」に由来する名前です。

それでは、これらの用語を頭に置いて、最初の主人公に会ってみましょう。

1971年、最初の自己複製プログラム Creeper #

最初の自己複製プログラムとしてよく挙げられるのが、1971年のCreeperです。BBNという会社のボブ・トーマス(Bob Thomas)が作ったもので、当時のインターネットの原型といえるARPANETに接続されたコンピュータの間を移動して回りました。

Creeperは感染したコンピュータの画面に、こんなメッセージを表示しました。「I’M THE CREEPER : CATCH ME IF YOU CAN」、日本語にすると「私はCreeperだ。捕まえられるものなら捕まえてみろ」という意味です。データを壊したり情報を盗んだりはしませんでした。悪意というよりは、「自分自身を複製するプログラムは本当に作れるのか」を確かめようとする実験に近いものでした。

おもしろいのは、このCreeperを消すために作られたReaperというプログラムが、事実上最初のアンチウイルスソフトと見なされているという点です。悪意あるプログラムと、それを防ぐアンチウイルスがほぼ同時に生まれたことになります。

1986年、最初のPCウイルス Brain #

Creeperが大型コンピュータの話だったとすれば、1986年のBrainは、私たちになじみのあるパーソナルコンピュータ(PC)時代の最初のウイルスと呼ばれています。パキスタンのラホールでコンピュータ店を営んでいたアルビ兄弟、バシットとアムジャドが作ったという逸話で有名です。当時、二人はそれぞれ17歳と24歳だったといわれています。

興味深いのは、その動機です。兄弟は、自分たちが開発した医療用ソフトウェアが違法にコピーされるのを防ぐために、このウイルスを作ったといいます。Brainはフロッピーディスクのブート領域に自分自身を仕込む方式で広がり、コードのなかには兄弟の名前と店の住所、さらには電話番号まで記されていました。違法コピーをした人が連絡してくれば、ディスクを直してあげようという意図でした。

問題は、このウイルスが兄弟の予想をはるかに超えて広がってしまったことです。アメリカやイギリスなど世界各地から「私のコンピュータを直してほしい」という電話が殺到し、兄弟はかなり戸惑ったと伝えられています。自己複製するコードがどれほど速く、どれほど遠くまで広がりうるのかを、人々が初めて実感した出来事でした。

1988年、インターネットを止めたモリスワーム #

本格的に大きな被害をもたらした最初の事例が、1988年のモリスワーム(Morris Worm)です。コーネル大学の大学院生だったロバート・モリス(Robert Morris)が作ったもので、1988年11月2日に広がり始めました。

モリスはインターネットの規模を測ろうとした意図だったと明かしましたが、コードに欠陥がありました。ワームが同じコンピュータを何度も再感染させ、システム資源を急速に食いつぶしていったのです。その結果、当時インターネットに接続されていた約6万台のうち6千台ほど、つまり10%程度が24時間以内に感染し、事実上麻痺しました。

この事件は技術的な衝撃にとどまりませんでした。モリスは1986年に制定されたアメリカのコンピュータ詐欺および濫用防止法(Computer Fraud and Abuse Act)で有罪判決を受けた最初の人物となりました。コンピュータ犯罪が法廷で扱われる時代が開かれたのです。モリスは保護観察3年と社会奉仕400時間、罰金を言い渡されました。

2000年、愛しているという一行に崩れた世界 #

2000年には、ILOVEYOUという名前のワームが登場します。5月4日ごろに広がり始めたこのワームは、メールに乗って爆発的に広がりました。

その手口は、人の心を狙ったものでした。メールの件名は「ILOVEYOU」、つまり「愛しています」で、添付ファイルの名前は「LOVE-LETTER-FOR-YOU.TXT.vbs」でした。まるでテキストのラブレターのように見えましたが、実際には実行ファイルでした。誰かが好奇心で添付ファイルを開くと、ワームはその人のアドレス帳にあるすべての連絡先へ、同じメールを自動的に送りました。

このように人の心理を利用して広がる手口を「ソーシャルエンジニアリング(social engineering)」と呼びます。結果は途方もないものでした。10日で数千万件の感染が報告され、世界中のインターネット接続コンピュータの約10%が影響を受けたと推定されています。後年の試算では、被害額は約100億ドルにのぼるといわれています。このワームを作ったのはフィリピンの学生オネル・デ・グスマン(Onel de Guzman)でしたが、当時のフィリピンにはこうした行為を処罰する法律がろくになかったため、結局起訴されませんでした。

2017年、金銭を狙う時代と WannaCry #

ここまでが好奇心と誇示の時代だったとすれば、以降は雰囲気がまったく変わります。ビットコインのような暗号資産が登場したことで、追跡が難しい方法で金銭を受け取る道が開かれたのです。そこで登場したのが、まさにランサムウェアです。

ランサムウェアの代表的な事例が、2017年5月のWannaCryです。WannaCryはWindowsのセキュリティ脆弱性を狙ったEternalBlueという攻撃ツールを利用しました。このツールはもともとアメリカ国家安全保障局(NSA)が開発したものでしたが、あるハッカー集団に流出したことで犯罪に悪用されました。

WannaCryは感染したコンピュータのファイルをことごとく暗号化したうえで、300ドル相当のビットコインを送れば解除すると脅迫しました。ワームのように自らネットワークを伝って広がったため、その拡散速度は恐ろしいものでした。ヨーロッパの警察機関の集計によれば、約150か国で20万台ほどのコンピュータが感染しました。とりわけイギリスの国民保健サービス(NHS)が大きな打撃を受け、病院のコンピュータと医療機器が止まり、1万9千件を超える診療予約が取り消されました。

さらに注目すべきは、その後の流れです。今どきのランサムウェアは、個人が趣味で作るレベルを超えて、一つの事業のように回っています。攻撃ツールを作る組織が別にあり、それを借りて攻撃する者が別にいるという構造です。これを「サービスとしてのランサムウェア(RaaS、Ransomware as a Service)」と呼びます。正規のITサービスがサブスクリプションモデルで売られるように、犯罪ツールも借りて使う時代になったのです。

おわりに #

最初のCreeperとBrainは、「これ本当に動くんだ?」という好奇心と、ちょっとしたいたずら心から出発しました。モリスワームとILOVEYOUを経て、その波及力がどれほど大きくなりうるかが明らかになり、WannaCryに至っては、明らかに金銭を狙う組織的な犯罪へとその姿を変えました。50年の間に、悪意あるプログラムは実験からビジネスへと進化したわけです。

ところが興味深いことに、この恐ろしい進化に立ち向かう基本的な防御法は、意外にも単純です。一つ目は、オペレーティングシステムとプログラムを常に最新の状態に更新することです。WannaCryが狙ったWindowsの脆弱性には、じつは攻撃が起きる前にすでにセキュリティパッチが出ていました。更新さえ済ませていれば防げたという意味です。二つ目は、大切なファイルを別に取っておくことです。ランサムウェアがファイルを暗号化しても、別の場所にコピーがあれば、金を払う理由はなくなります。

華やかなセキュリティ技術より前に、更新とバックアップという二つの基本が、いまなお最も強力な防衛線です。次の記事では、こうした脅威から個人が日常で自らを守る具体的な方法を扱っていきます。

X