とくに悪質だった5つのウイルス

マイケル・アランダ氏:今回のSciShowの話を聞いたら、コンピュータウイルスとインターネットセキュリティについてかなりの不安を与えてしまうかもしれません。けれど、きっとそれはあなたにとっていいことだと思いますよ。

コンピュータウイルスについて話をする時、ほとんどの場合はコンピュータそのものを攻撃したり、ウイルスを他のコンピュータにばらまいたりするよう設計されたコードのことを意味しています。

これらのウイルスは、あなたのコンピュータを介して他人のコンピュータを攻撃したり、あるいはあなたの個人情報を盗んでお金に変えようと企む悪意あるプログラマーたちによって作りだされています。また、自分たちが作ったウイルスがどこまで拡散されるかを確認する手段としても使われたりします。

これらの多種多様なウイルスは、Mac、Windows、Linuxのコンピュータ、そして会社のデーターサーバーにまでも影響を与えます。しかもこれらのウイルスは、インターネットそれ自体にも潜んでいるのです。

ウイルス対策ソフトは解決策にはなりますが、今まで遭遇したことのない脅威(ウイルス)を対処しようとする時には不安が残ります。長年の間、オンライン上では無数のさまざまなウイルスが拡散され、生産性を奪い、リソースの無駄遣いを促し、機械を壊すことで実に何億ドルという被害を与えてきました。

そのなかでもとくに突出した特徴を持つウイルスがいくつかあります。それらのウイルスは、何よりも早く拡散される、より多くの人に実害を与える、またはそのウイルス単体だけでかなりの被害を生み出してしまうなどいった特徴を持っています。なかには、これらすべての特徴を持っているウイルスもあります。

いろいろな側面から見ても、ほとんどのウイルスはどれもとても悪質で、最悪なウイルスは何かを客観的に選ぶことは難しいです。けれど、それらを念頭に置いた上で、ここではとくに悪質であった5つのウイルスを取り上げましょう。

1999年に登場したウイルス「メリッサ」

これらのウイルスは、ウイルスを作りだす人とまたそのウイルスからさまざまな機器を守ろうとする両方の立場の人々にとって、コンピュータセキュリティに関わるコードについての考え方を塗り替えました。それは1999年の5月のことでした。

あなたは今までに一度もコンピュータウイルスに感染したことがない、無防備なユーザーです。怪しいEメールのサインを見抜く特訓なんて、したこともありません。さて、あなたは知り合いから、「重要なメッセージ」というタイトルのメールを受信します。

メール本文には、「あなたに頼まれた書類です。誰にも見せないでくださいね」とウインクマーク付きで書かれていて、ファイル名が「LIST」というワードのファイルも添付されています。

気になったあなたは、そのファイルをクリックします。その途端、いろいろなポルノサイトが次々と画面上に表示されます。この時点であなたはこのメールが何かのウイルスだということに気がつきます。

しかし、すでに気が付くのが遅すぎました。この時点で、アドレス帳にある最初の50人はあなたが受け取ったメールと全く同じ内容のメールをすでに受け取ってしまっているのです。しかもメールの件名には「あなたから」と表記された状態で。これはメリッサウイルスと呼ばれています。

これはマイクロソフトのOutlookメールプログラムから広がりました。たとえ添付ファイルが何の害もないワードファイルのドキュメントにみえても、コンピュータに損害を与えることができるのです。それは「マクロ」と呼ばれています。

マクロは、ショートカットを作る時に使用される特別なコンピュータプログラムの種類の1つです。ワードでは、ショートカットは、文章をより簡単に編集するために使用されます。マニュアルに沿って手作業で一つひとつ文章を変更していく代わりに、マクロは、たったワンクリックで作業を終わらせてくれるコードです。

問題は、これらの機能がマクロにあなたのコンピュータを支配できてしまうほどの権限を与えてしまうことです。要するに、マクロは実際にはその権限を悪質なコードを作り出すために利用されている、メリッサのようなウイルスそのものなのです。

たった数日で、メリッサは数百、または数千ものコンピュータに拡散されました。ウイルスは、コンピュータ自体に被害はありませんでしたが、メールサービスの動きを停滞させ、企業たちは8億円の損害を受けました。結果として、ITの専門家やウイルス対策プログラムは、メールが送信されるのを防ぎ、またもし送ってしまった場合にも受信箱にメールが届かないようにするといった2つの安全策を立てました。

ウイルスの元凶であるデイビッド・L・スミスというプログラマーは、メリッサが最初に発信されてから約1週間後に捕まりました。彼は20ヶ月服役し、5,000ドルの罰金を支払いました。

なぜメリッサだったのか? それはどうやら、彼がフロリダで会ったストリッパーからきているようです。メリッサは、人々にファイルを開かせるだけの好奇心を抱かせるというソーシャルエンジニアリングという手法によって瞬く間に拡散されました。

たった2日で45億ものコンピュータに広がったウイルス

それから約1年後の2000年の5月に広がったI Love Youウイルスも、ソーシャルエンジニアリングによって成功した例の1つです。このウイルスは、たった2日で45億ものコンピュータに広がり、さらに100億円もの損害を生み出しました。ウイルスを持ったEメールは、タイトルに「I LOVE YOU」と書かれ、ファイルの名前は、「Love Letter For You .txt」と表記されていました。

このファイルをクリックすると、ウイルスはあなたのコンピュータのファイルに入り込み、ドキュメント、イメージ、そしてオーディオファイルのメディアまで探し出します。そして、それらのファイルを、自分自身のコピーへと内容をすべて上書きしてしまうのです。

もしあなたがファイルをバックアップしていなかったら、すべてのデータを失ってしまうことになります。さらにその間にもウイルスは、あなたのアドレス帳にあるすべての人に送られてしまいます。

このウイルスは、ワームタイプに分類されます。メリッサの場合は、ワードという主体を必要としていましたが、このタイプはそういったものを必要とせず、スタンドアロンプログラムといって単独で行動するタイプです。それは一見ただのテキストファイルに見えるので、開封しても比較的問題がないように思えるのですが、love letter for youは、拡張子がvbsに分類されるvisual basic scriptです。

Windows のOSにおける初期設定では、ファイルの拡張子を隠すという特性があったため、ユーザーはvbsファイルであるかどうかをファイル名の最後で見極めることができませんでした。vbsは、任務を遂行するための指示をコンピュータに送り込みます。なので、もしコンピュータにダメージを与えるように指示がされていた場合、あなたのファイルをすべて消してしまうような、危険なウイルスとなりえるのです。

メリッサとI Love youワームウイルスは、数日後にはほぼ抑制できました。それらは、フィルターによって人々の受信箱から弾かれ、多くの会社は、感染したコンピュータを修復させました。しかしすでに多くの損害が出てしまっていました。

これらのウイルスは、フィリピン人の2人のプログラマーによるものでした。しかし、その当時このような事件を罰する法律などがなかったため、彼らは逮捕後もすぐ釈放されました。このウイルスは、いかに簡単に素早くワームウイルスが広がるかということと、またそれがどれだけ多くの被害を与えるものかを私たちに警告してくれた、いい例です。

12億ドルの損害を引き起こした「スラマー」

2003年の1月25日の朝6時前、インターネットに異変がおきました。

韓国ではインターネットと携帯電話サービスがストップし、30万人のポルトガル人はインターネットに接続できなくなりました。航空会社はチケットの発券ができず、予約をキャンセルしなければなりませんでした。銀行のATMは機能せず、シアトルの911では、通話記録を取るために紙を使用しなければならなくなりました。インターネットに接続していたいくつかの機器でさえも、ネット接続が突然 (2003年当時の基準からすると)かなり遅くなってしまいました。なにが起きたのでしょうか?

すでにお分かりかと思いますが、これらの混乱はウイルスによって引き起こされたものです。しかしそれはメールを通して広がるものではなく、またほとんどの人が家に持っているパソコンを介して感染するものではありませんでした。

スラマーは、SQLシステム(マイクロソフトSQLサーバーと呼ばれる、データベースを蓄えるマイクロソフトのソフトウエアの一部)をターゲットにしたワームウイルスの仕業でした。それはソフトウエアの不具合を利用し、特別なかたちをとったコードとしてサーバーに送信されます。そのコードは、一見普通にリクエストされたように見えますが、実際はいくつものワームウイルスのコピーを送信するためにサーバーをプログラミングし直されたものなのです。

このウイルスは、今までにあったなかでも、もっとも早く拡散されました。たった10分の間に75,000ものサーバーが感染したのです。感染したサーバーはさらに、他の何千ものサーバーへとリクエストを送信し、それがネットワークの渋滞を引き起こしました。結果として、何万ものサーバーが感染し、しばらくの間インターネットが止まってしまったのです。

スラマーは、それが停止されるまでに、約12億ドルの損害を引き起こしたと考えられており、これを作り出したプログラマーはまだ捕まっていません。実は、この事態は事前に防ぐことができたのではと考えられています。マイクロソフトは、6ヶ月前にスラマーが利用した不具合を直すためのソフトを販売していました。しかし、多くの人々がそれをまだインストールしていなかったのです。

コンピュータを乗っ取るウイルス

2007年のStorm wormは、また別のかたちのワームウイルスで、再びEメールを通して広がりました。しかしその目的は、あなたのコンピュータに害を与え、情報を破壊することではなく、コンピュータを乗っ取ることでした。メールのタイトルは「230人がヨーロッパの嵐の影響で亡くなる」と表記され、それはそのままウイルスの名前になりました。

添付ファイルの代わりに、メール本文にはコンピュータを感染させるウイルスが含まれた、Webサイトへのリンクが記載されていました。そして……なにも起こりません。少なくとも、ユーザーの目に見える範囲ではなにも起こらないのです。

このストームワームウイルスは、限りなく「見えない」ようにデザインされており、正体を突き止め、ウイルスを壊すことはとても困難です。このような方法だと、あなたが知らない内に、コンピュータのバックグラウンドで自由にタスクを行うことができるのです。ウイルスはあなたの機械をボットネットと呼ばれる、あるネットワークで管理されているコンピュータ群につなぎます。

ボットネットは、組織的攻撃を行う、Webサービスを停滞させる、または使用できなくする、パスワードや銀行口座、個人情報を盗むなど、そのネットワーク内でたくさんのことができます。

しかし、始めはそのネットワークは実際なにも行いません。ただ成長するのを待つのです。アンチウイルスやIT関連会社はウイルスがそこにあることを認識はできるのですが、それを止めることはとても難しいのです。

理由の1つは、同じネットワーク内でも、それぞれの機械は各自違った働きをしているからです。感染したコンピュータのなかでも、ごく少数のみがウイルスを拡散させる役割を担っています。別のコンピュータ群は司令塔として機能していて、指示を送ったり、他のボットネット内のコンピュータを操作する手伝いをしたりしています。残りのすべては、ただその指示に忠実に従います。

したがって、ウイルスを拡散しているほとんどのコンピュータをシャットダウンしても、ネットワーク内にはまだウイルスは存在し、活動を続けているのです。

しかし、最初の段階でストームワームの拡散を止めることはとても難しいことでした。最初は、「ヨーロッパでの嵐に関すること」という件名から始まったこのウイルスですが、後にさまざまな違う件名に変化していったからです。さらに、アドレス帳に登録がある誰かからのメールであれば、大体の場合それを疑うことはしません。

事態をさらに悪化させてしまった原因としては、ウイルス対策ソフトが、感染している機械の中に潜んでいるウイルス見つけ出すことが難しいということが考えられます。

ストームワームのコードは、30分ごとに変化するようにデザインされており、常に違うように見えてしまうのです。ピーク時には、ストームネットのボットネットは、約1億5千万の機械で構成されていました。プログラマーは、それ自体をなにも非道なことに利用しようとは考えていませんでした。ただ、彼らは他の犯罪者や詐欺師へそのネットワークを売ったのです。

しばらくたって、会社はウイルスの拡散を防ぐ方法を見つけました。ウイルスを感染した機械から取り除き、2008年の後期までにボットネットはほぼなくなりました。しかしスラマーのように、このウイルスを作ったプログラマーは見つかっていません。

50万もの銀行口座情報を盗み出す

Mebrootも、2007年に徐々に広がりだしたウイルスの1つです。このウイルスの主な目的は、あなたをTorpigと呼ばれるボットネットに接続させることでした。これらはとても緻密に計算されたものでした。

Mebrootは、あなたが怪しいWebページやプログラムをダウンロードした時に、自分でも気が付かない内にバックグラウンドで勝手にダウンロードされてしまう、ドライブバイダウンロードという手法によってコンピュータに侵入します。そこから、マスターブートレコードと呼ばれる、コンピュータの起動を指示する中枢を上書きしてしまいます。

マスターブートレコードを操作できるということは、Mebrootがそれだけ大きな影響力を持つということです。なぜなら、あなたのコンピュータに起動時から、なにをするべきかを指示できるようになるからです。なにをあなたのコンピュータに伝えるかと言うと、Torpigボットネットという、あなたの情報すべてを盗むボットに接続させることです。Torpigは、マン・イン・ザ・ブラウザと呼ばれるスパイテクニックを利用します。名前からして、気味が悪いですね。

このテクニックは、あなたのブラウザに潜伏し、アクセスしたものが入力した個人情報のすべてを記録します。また実在のWebサイトとそっくり同じようなサイトを使って、個人情報を盗もうとします。そのサイトの機能や見た目は本物とほとんど変わりません。ただ、送信先がTorpigサーバーであること以外には。

さらに操作をしている間、あなたはそのウイルスがそこにあったことは決して知ることはできないのです。

2008年の後半までに、Torpigは、50万の銀行口座情報に接続して情報を盗みだしました。そして、またもやこのウイルスを作った人は捕まっていないのです。

今あなたは、ワームウイルスが明日にでもインターネットをダウンさせる、またあなたのコンピュータが知らない内にボットネットの一部分になっているかもと不安になっているかもしれません。そういった心配は、非難されることではありません。ウイルスからコンピュータを守る方法はあるのです。

まず、ウイルス対策ソフトをインストールすることです。そして疑わしいリンクをクリックせず、ナイジェリア王子からのEメールも、開いてはいけませんよ。また、OSとコンピュータプログラムを最新のセキュリティパッチとともに最新の状態にアップデートし続けてください。

コンピュータは素晴らしいものですが、彼らは言われたことをただ実行することしかできません。つまり、ウイルスがなにか悪いこと行うよう指示を出した時、その損害は多大なものになってしまうのです。