「メリッサ」は、インターネットが普及し始めたころに世間を騒がせたマルウェアであるが、極めて特異な特徴があった。当時はまだ個人的な興味で作成されていたマルウェアに、不特定多数の人たちがうっかりとクリックし感染が膨大に拡散してしまうような仕掛けを施したのである。
この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。
それは1999年3月のことだった。「Y2K」のバグ、すなわち「2000年問題」についてはすでに多くが語られ、コンピューターやソフトウェアに予算が割り振られ、銀行員たちは世紀末に備えていた。一方、その他大勢の人々にとっては、特に問題事ではなかった。
そんな中、デイヴィッド・L・スミス(David L. Smith)氏(もちろん当時彼のことを知る人はそう多くなかったはずだ)は、ある悪事に手を染めようとしていた。おそらく3月26日かその前後に「メリッサ・ウイルス」(Melissa virus、公式には「W97M/Melissa.A@mm」として検出される)を世間に解き放った人物こそ、このスミス氏だったのだ。
驚くべき拡散の速度
数時間のうちに、そのマクロウイルスは、広く、遠隔地にまで拡散した。数万という、Microsoft Outlookをメールクライアントに使用しているコンピューターが世界中で感染した。その中には、政府機関のコンピューターも含まれていた。
当時「トライバル・ボイス」(Tribal Voice)紙で読者対応の責任者を務めていたアリエ・ゴレツキー(Aryeh Goretsky、現ESET上級研究員)氏は、メリッサ・ウイルスの驚くべき「拡散の速度」について回想している。瞬く間にメールのサービスとインターネットの接続速度が著しく低下した、という。
「Wordのマクロエディタを立ち上げ、人間に読めるコードを見つけ、これはまずい」と思ったことを彼は記憶している。ウイルスのコードを書く技術や知識のレベルがはっきりと変わったと感じたからだ。
FBIによれば、被害額は80億円(=8,000万ドル)以上に上った。もしもスミス氏がウイルスを広めた疑いで1週間以内に逮捕されていなかったならば、もっと事態はひどくなったかもしれない。
「ウイルスの能力そのものは、破壊力よりも煩わしさが勝っていました」とリサ・マイヤーズ(Lysa Myers、ESETのセキュリティ研究者)は当時を振り返り、「にもかかわらず、企業にとってダメージは想像以上のもので、生産性の低下があちこちで見られました」と述べる。
通常のビジネスではなく……マイヤーズは「メリッサがアタマをもたげた」当時にはまだ、マルウェアの研究調査に関する新たな仕事に就いてから数週間しかたっていなかった。言うまでもなく、続く数週間は長く、厳しいものだった。
「直接研究所にコンタクトをとってきた人もいました。自分が受信した文書が問題を引き起こしたために、非常に慌てた様子で助けを求めてきました」と説明する。
「当時のことはよく覚えています。ウイルスを調べているスタッフとサポート担当者がこのWordのファイルを話題にし始めたとき、最初は数人との対応だったものが、あっという間に数千もの人との対応となってしまいました。その後の3日間は完全にメリッサに追われました。問い合わせ全てに応じるため仕事は深夜にまで及びました」
スミス氏は、有罪を認めるころ、つまり判決を言い渡されるときに、彼のウイルスによりこの種の影響が引き起こされ、この種の被害を生じさせることについて何の考えも持っていなかった、としている。無害なジョーク以上のものではないと考えていたのだ。
彼が詳述するには、「ウイルスをばらまいたとき、金銭的な被害は軽微で偶発的なものだろうと見ていました。実際、実質的な被害を防ぐように設計したつもりでいました。世間にこれほど深刻な影響を与えるとは考えてもみませんでした」というのである。
スミス氏は、その後、懲役20カ月を宣告され、約50万円(=5,000ドル)の保釈金とともに、裁判所の許可なしにインターネットやインターネット掲示板、コンピューターネットワークに関わってはいけないという条件で保釈された。彼の現在の居住地や活動については、ほとんど知られていない。
どのようにメリッサは広く拡散したのか
メリッサ、それは、エキゾチックなダンサーにちなんで名付けられた。大量にメールを送信してしまうウイルスは、Wordファイルを添付したメールを介して拡散した。メールを受け取った人が自らの意志でその添付ファイルをダウンロードすることで、コンピューターが感染する。別の言い方をすれば、メールの受信者が、何らかの方法で添付ファイルをクリックしなければならず、言うまでもなく大勢がそれを実行してしまった。
実際にスミス氏はこのことをはっきりと自覚していたと思われる。メリッサはソーシャルエンジニアリングが施されていたため、うっかり添付ファイルをクリックしてしまう人が続出した。そしてまたメッセージが家族や友人、同僚から送られてきたことも災いした
要するに、日ごろ信頼している人からメールが送られてきたのである。メールの内容は大ざっぱに言えば次のようなものであった。
* 件名: ◎◎さんからの重要なメッセージ
* 本文: あなたが欲しがっていた書類です…ほかの誰にも見せないようにお願いします
メリッサは、他のVBAマクロウイルスのようにユーザーのデフォルトのテンプレートに自身を複製し、文書に感染するとファイルを閉じる。プログラムのマクロセキュリティ設定を使えなくするという共通点もあったが、メリッサの目新しさは手法そのものにあり、Outlookを使おうとしたことにある。感染したOutlookの50件のアドレスへメールを送信する仕組みだったのである。
この「50件」という点は極めて重要だ。それがウイルス感染の急速な拡大に手を貸したからだ。それぞれのダウンロードからの拡散の量が大きかった。考えてもみてもらいたい。感染したコンピューター1台が、50のさらなるコンピューターを感染させかねないのだ(MicrosoftのExchangeを使っている組織では、通常、ユーザーのパーソナルアドレス帳とExchangeのグローバルアドレスリストと、少なくとも2つはある)。1人だけ感染リストに加わっただけでも、多くの人々のシステムが影響を受けるし、連鎖的な反応がすでに始まっている。加えて、これらのメールアドレスの多くは、実際、複数のアドレスが含まれることも多々あり、1人にメールを送るだけではない。それが、大混乱を引き起こした理由である(1999年5月の「ウイルスブリテン」(Virus Bulletin)紙におけるイアン・ワレイ(Ian Whalley)の分析「メリッサ――ほんの1つのウイルスがなし得たこと」に詳細が記載されている)。
新たなミレニアム、新たな脅威
こうした話があまり引っ掛かるところがないのであれば、それはそれで幸福なことである。しかし少しでも気になる人にとっては、ただごとではなかったことに、少しでもいいから気付いてほしい。
メリッサ・ウイルスは、一種の警告だった。企業・組織は、問題点を認識し、解決しなければならないことに気付いた。
だが、そうした評価があった後に、どれだけ深く学んできたのかは、はなはだ疑問である。マイヤーズが強調した通り、どれだけの企業が今日、有害な添付ファイル形式をフィルターしているだろうか。どれだけの企業が、緊急事態のためにバックアップをとっているだろうか。どれだけの企業が、ネットワークが停止している場合に、ウイルス対策ソフトをアップデートしているだろうか。
メリッサ・ウイルスは、オンラインで不正なプログラムやソフトウェアが拡散する速度のみならず、個人も企業・組織も現状の対策では不十分であることについてもヒントを与えてくれた。現在ではソーシャルエンジニアリングが良い例だが、サイバー犯罪者や攻撃者には自由に使える技術があり、この技術のために人々はかなりの脅威にさらされているのである。つまり、近年に何が起こっているのかについてもメリッサはヒントを与えてくれているのである。
デイビッド・ハーレイ(David Harley、ESETシニアリサーチフェロー)は「エスター・ダイソン(Esther Dyson)氏による論考「メリッサはマーケティングツール」は、その詳細を簡潔にまとめています」と語る。
「メリッサの考えを「バイラルマーケティング」(*1)に例えるのはおそらく面白いことではないでしょう。インターネットが文化として正しく根付いていくことに多大な影響を与えただけではなく、後のマルウェア開発の目的にも変化をもたらしました。つまりマルウェア開発はメリッサ以後、単なる自己満足ではなく、本格的で、完全に金銭目的の犯罪になっていくのです」
*1 口コミを使って宣伝情報をウイルスのように拡散させる手法のこと。
メリッサは、20世紀の終わりに現れたが、21世紀にどのようなことが起こるかを如実に示したものでもある。すなわちサイバー犯罪は、今日の最大の脅威の1つであるとともに、最も複雑で破壊的な犯罪の1つとなったのである。