TREND COMMENTARY

トレンド解説 | マルウェアに関する最新の動向、対処方法

「モリスワーム」がこの世にもたらしたもの

この記事をシェア

インターネットが生まれて間もないある日突然、数多くのコンピューターにトラブルが発生、システムが停止した。従来の「ウイルス」のような寄生型ではなく、自身で活動や複製を行う仕組みであったため「ワーム」(虫)と呼ばれた。史上最大規模の影響を及ぼした「モリスワーム」の誕生である。

この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。

1988年11月2日、インターネットと情報セキュリティの歴史が大きく動いた。米国東部標準時間で同日午後6時に「モリスワーム」(Morris Worm)が感染を開始し、インターネットが機能しなくなるなど、それまでの歴史の中で最大規模のマルウェア被害を生じるに至った。モリスワームは脆弱性を突く攻撃を展開し、その結果、多数のコンピューターが影響を受け、多数のシステムが停止した。インターネットに拡散した初のマルチプラットフォーム型マルウェアであったため、何日もの間通常業務が阻害され、接続も回復できない状況に陥った。

インパクトの大きさ

マルウェア史上、モリスワームほど大規模な影響を与えたマルウェアはない。当時60,000台あったインターネットに接続されたコンピューターのうち6,000台に感染し、その多くが感染後72時間たっても駆除ができない状況であった。ユージン・H・スパフォード(Eugene H. Spafford)教授が当時発表した学術論文によると、幾つかの機器のディレクトリの中には通常は存在しないファイルが残され、また、システム上では起動しているプロセスの負荷がどんどん増加してシステムの動作が鈍くなる状況に至った。

モリスワームはその仕組み上、感染を繰り返す。そのため、繰り返し感染した機器の中には、動作を停止してしまう機器もあった。コンピューターネットワーク上で自身を複製し、機器のリソースを使い切ってしまったからである。

困ったことに、米国のトップ大学と政府機関は当時アーパネット(ARPANET)に接続されていた。その他NSA(米国家安全保障局)、マサチューセッツ工科大学、ペンタゴン(米国防総省)などのコンピューターも影響を受けることとなった

脆弱性の悪用

モリスワームの設計は、外の世界の人が見たら一見巧妙なもののように思えるかもしれないが、衝撃的だったのは、拡散が意図されていなかった点にある。実際、モリスワーム自体には多数の欠陥があった。プログラミングスキルが未熟であったことから、意図せずこのように感染が拡散してしまったのだ。

モリスワームは、TCPとSMTP接続の脆弱性を突くことによりシステムに侵入している。これらの脆弱性は、攻撃者がホストシステムに任意のコマンドをいとも簡単に受け渡すことを可能にしてしまうものである。UNIXシステムの脆弱性は多数の人に知られているものの、その攻撃の範囲の広さは非常に大きな驚きを与えた。それは当マルウェアの作成者であるロバート・モリス (Robert Tappan Morris Jr.) 氏でさえ、非常に驚くほどであった。

モリス氏は好奇心があっただけなのか、それとも罪を犯したのか

コーネル大学で当時23歳の学生であったモリス氏は、ネットワーク上のコンピューターにそのプログラムが拡散するスピードを見て驚愕した。彼は、このプログラムの作成には悪意がなく、インターネットの規模を測ることが目的であり、自身のプログラミングミスにより破壊行為が行われてしまったと述べている。このミスは致命的であり、モリス氏が制御できない事態を引き起こしてしまった。ハーバード大学の広報担当者によると、1億円(10万ドル)ないし100億円(1,000万ドル)ともいわれる経済的被害を与えてしまったと推定されている。

しかし、モリス氏に悪意がなかったことに疑念を投げ掛ける者もいる。皮肉なことに、モリス氏の父はNSAのコンピューター・セキュリティ部門の主任研究員であり、モリス氏は単に父のイメージを払拭して自身のイメージを構築しようと試みたのだとする見方が存在する。この見方は、彼の父親がコンピューター上でのパスワード技術を構築したのに対し、モリスワームがパスワードファイルを追い求めている点に起因している。

デイヴィッド・ハーレー(David Harley、ESETシニアリサーチフェロー)は、モリスワームが疑問の多い挙動をしていることを指摘している。例えば、「バグの多い複製プロセスがあり、それがホストシステムに深刻な影響を与えかねない」と指摘している。

モリス氏の意図がどこにあったのかにかかわらず、彼は有罪判決を受けた史上初のマルウェア作成者になってしまったのだ(彼は1986年のコンピューター不正行為防止法違反で有罪判決を受けた。この法律で有罪判決を受けたのも彼が最初である)。

感染したシステムが無事に復旧

バークレーにあるカリフォルニア大学バークレー校およびマサチューセッツ工科大学の専門家たちは、戸惑いながらもとっさに判断を下し、そのワーム被害の拡大に立ち向かい、プログラムを分析し、拡散防止策を検討した。そのマルウェア発見から12時間以内となる翌朝には、バークレーのコンピューターシステム研究グループはそのワームの拡散を止めるためのステップを確立した。その夜には、パデュー大学により拡散防止の別の方法が発見され、広く公開された。

1988年11月8日、システムの通常業務への回復を果たすと、NCSC(米国コンピューター・セキュリティ・センター)はモリス氏のプログラムの影響について議論するワークショップを開催した。そこで、ワークショップの参加者たちは、モリスワームをリバースエンジニアリングして得られたコードを複製コピーや共有をしないことで合意した。この複製コピーや共有により生じる影響を危惧してのことであったが、これは単に時間稼ぎの戦略でしかなかった。

モリスワームが与えた影響

1988年12月8日までに、デコンパイルされたコードが11バージョン存在していた。このことは、マルウェアを構築するスキルとツールがすでに広まっていることを意味していた。もちろん、これは不正なマルウェア作成の始まりでしかなく、この日以降、モリスのデコンパイルしたコードに影響を受けた強力なマルウェア感染が多数登場してきた。「コードレッド」(Code Red)から「コンフィッカー」(Conficker)に至るまで、非常に多くのコンピューターに感染したマルウェアが生み出されてきたのだ。

マルウェア攻撃が増加してしまったものの、モリスワームにより得られたポジティブな事象も幾つか存在する。現状に満足していてはいけないことを認識させ、コンピューターのセキュリティを推進し、ソフトウェアベンダーが製品の脆弱性を真剣に受け止めざるを得ない状況に至った。同時に、本事件の結果を踏まえて、初のコンピューター緊急事態対策チーム(CERT)の設置がなされるに至った。

モリスワームはわれわれにオンラインの潜在的な脅威についてより注意するよう教えてくれたが、歴史は繰り返す。今日では当時と比べて格段に多くのコンピューターがインターネット接続されており、また、多くの企業が毎日のプロセスや収益創出をインターネットに依存している。そのため、インシデントが発生した際の被害のレベルは単なる驚きでは決してすまない。世界規模での大惨事となりかねないだろう。

この記事をシェア

業務PCのセキュリティ対策に

マルウェア情報局の
最新情報をチェック!