コンピューターウイルスの歴史とサイバー犯罪が向かう先

「サイバーセキュリティについて知っていることは」と質問すると、誰からも「コンピューターウイルスのことですか？」程度の返事しか返ってきません。これだけインターネット上の脅威が拡大し、被害は広範囲に及んでいるにもかかわらず、多くのユーザーは「コンピューターウイルスとは何者か」すら知らないのです。

ここではコンピューターウイルスの歴史と、拡大し続けるサイバー犯罪が向かう先を追います。

コンピューターウイルスの理論

コンピューターウイルスとは何者でしょうか？

「コンピューターウイルス」の発想は、1940年代後半、数学者のJohn von Neumannが講義の中で初めて取り上げ、1966年には論文Theory of Self-Reproducing Automata（英語記事：自己増殖オートマトンの理論）としても発表されました。

この論文は実質的には、コンピューターコードなどの「機械的」な生命体が、まさに生物学上のウイルスのように、コンピューターを破壊し、自己増殖して別のホストを感染させることが可能であるとする概念を理論上で証明した思考実験でした。

The Creeper

最初のコンピューターウイルスとされる「The Creeper」は、報道によると、1971年にBBNのBob Thomasによって作成されました。実際には、The Creeperはプログラムは自己複製できるかを確かめるセキュリティテスト用として作成されましたが、その挙動はコンピューターウイルスと近しいものでした。The Creeperは、新しいハードディスクを感染させると、それまで存在していたホストから自身の削除を試みます。

ただ、The Creeperに悪意はなく、こうシンプルなメッセージを表示するだけです。

I'M THE CREEPER. CATCH ME IF YOU CAN! （私はクリーパー。君に捕まえられるかな？）

Rabbit

InfoCarnivore（英語記事）によると、1974年、自己複製の機能を持ち、かつ悪意のあるコンピューターウイルスRabbit（またはWabbit）が作成されました。コンピューターに侵入すると、複数の自身のコピーを作成し、システムパフォーマンスを著しく低下させた末、コンピューターを破壊します。Rabbitというウイルス名は、自己複製の速度が「うさぎ」のように素早いことから命名されました。

最初のトロイの木馬型マルウェア

Fourmilab（英語記事）によると、「ANIMAL」という初のトロイの木馬型マルウェアが、1975年にコンピュータープログラマーのJohn Walkerによって作成されました（ANIMALがトロイの木馬型か、単なるコンピューターウイルスかについては諸説あります）。

20の質問に回答しながらユーザーが思い浮かべている動物を当てる「動物ゲーム」のプログラムが、その当時大流行しました。Walkerが作成した動物ゲームは特に人気があり、プログラムを他の人に渡すには磁気テープを作成して、それを発送する必要がありました。この作業を簡単にするために、WalkerはANIMALとともに自身をインストールする「PERVADE」を作成しました。ゲームをしている間に、PERVADEはユーザーがアクセスできるすべてのコンピューターディレクトリを調べ、ANIMALがインストールされていないディレクトリにANIMALのコピーを作成します。

Walkerには悪意はありませんでしたが、ANIMALとPERVADEはトロイの木馬型マルウェアの定義に合致するものでした。ANIMALの内部に、ユーザーの許可なく実行する他のプログラムが隠されているからです。

Brain

IBM PCに感染する最初のコンピューターウイルス「Brain」が、1986年に5.2インチフロッピー ディスクを初めて感染させました。カスペルスキーの専門家（英語記事）によると、Brainは、パキスタンでコンピューター関連会社を経営していたBasit Farooq AlviとAmjad Farooq Alviの兄弟が作成したものでした。自分たちのソフトウェアを違法にコピーする顧客に憤慨した二人が、フロッピー ディスクのブート セクターをコンピューターウイルスのプログラムで置き換えるBrainを作成したとされています。初めてのステルス型ウイルスでもあるこのコンピューターウイルスには、著作権に関するメッセージが隠ぺいされているものの、実際の破壊活動は行いません。

LoveLetter

21世紀に入り、信頼性のある高速のブロードバンドネットワークが普及すると、マルウェアの感染経路にも変化がありました。フロッピーディスクや企業内ネットワークを利用するだけでなく、メールや有名なWeb サイト経由または直接インターネット上で、マルウェアを格段に速く展開できるようになりました。その結果、新たなマルウェアが登場しはじめました。悪意のあるソフトウェアの総称「マルウェア」として括られる、コンピューターウイルス、ワームやトロイの木馬型マルウェアにより、脅威状況は複雑になりました。この新たな脅威の時代に最も拡散したマルウェアの1つが、2000年5月4日に確認された「LoveLetter」です。

このワームはかつてのメールを悪用したウイルスの手口を利用していましたが、1995年以降、脅威の主流となっていたマクロ型ウイルスとは異なり、感染したWord 文書ではなく、VB スクリプトのファイルとしてコンピューターに侵入します。シンプルで単純な手口ですが、ユーザーには、一方的に送りつけられるメールを疑う習慣が浸透していなかったため、感染が広がりました。メールの件名は「I Love You」で、「LOVE-LETTER-FOR-YOU-TXT.vbs」というファイルが添付されていました。LoveLetterの作成者であるOnel de Guzmanは、既存のファイルを上書きしてワーム自身のコピーと置き換えるようにLoveLetterを設計しました。そのコピーは、犠牲となったユーザーのアドレス情報すべてにワームを送りつけるために利用されます。新たな犠牲者に送信されるメールの送信元は知人となるため、たいてい受信したメールを開いてしまいます。LoveLetterは「ソーシャルエンジニアリングの悪用は効果が高い」というコンセプトを実証してしまったことになります。

Code Red

「Code Red」は「ファイルを持たない」ワームです。メモリのみに常駐し、コンピューター上のファイルは感染させません。Microsoft Internet Information Serverのぜい弱性を悪用し、高速に自身を複製するこのワームは、プロトコルを操作して感染コンピューターに通信の許可を与え、たった数時間で世界中にワームを拡散しました。Scientific American（英語記事）が言及しているとおり、最終的に、改ざんされたコンピューターはWebサイト「whitehouse.gov」に対する「分散型サービス拒否（distributed denial-of-service、DDoS）攻撃」に利用されました。

Heartbleed

最も悪名高い最近のマルウェアと言えば、2014年に確認された「Heartbleed」もその１つです。突然脅威の世界に現れたHeartbleedにより、インターネット内のあらゆるサーバーが危険にさらされました。Heartbleedはウイルスやワームと異なり、世界中の企業で採用しているオープンソースの汎用暗号化ライブラリであるOpenSSLのぜい弱性を悪用します。

OpenSSLはheartbeat（ハートビート）信号を定期的に送信し、セキュアに接続されたエンドポイントの状態を確認し維持します。クライアントはサーバーに特定のサイズ（たとえば1バイト）のデータを送信し、同じサイズの返送を要求します。仮に、最大許容量の64キロバイトで送信するとクライアントが宣言しながら、1バイトだけ送信した場合でも、サーバーはRAMの格納データから64キロバイト分を返送してしまいます。この返送されるデータには、暗号化キーを保護するユーザー名やパスワードなども含まれる可能性があると、セキュリティ専門家のBruce Schneier（英語記事）が指摘しています。

コンピューターウイルスが向かう先

コンピューターウイルスは、60年以上も前から広く認知されていました。ただ、かつてはインターネット上の破壊行為に過ぎなかったものが、短期間でサイバー犯罪にまで変化してしまいました。ワーム、トロイの木馬型マルウェア、コンピューターウイルスは進化を続けています。サイバー犯罪者は意欲的でずる賢く、通信やプログラムコードの防御を突破して、新たな感染手口を編み出すことばかり考えています。

将来、PoS（販売時点管理）を狙うサイバー犯罪が増加すると予想されています。「リモートアクセス型トロイの木馬」である「Moker」が脚光を浴びたことも将来の脅威を予測するのに役立つ事例といえます。この新しいマルウェアMokerは、検出することも削除も難しく、既存のセキュリティ対策はすべて回避してしまいます。

完璧な方法などありません。攻撃する側も防御する側も「変化」こそが命綱です。