部分的かもしれないが、技術上の脆弱性ではなく、むしろ人の気持ちに付け込んだからこそ、「VBS/LoveLetter」（別名「Love Bug」）ウイルスは、2000年5月5日の朝に最初の被害者たちのメールボックスを攻撃して以来、あれだけの破壊の跡を残したのではなかろうか。

メールのタイトルに「I LOVE YOU」と書いてあるだけで、効果はてきめんだった。本文はこう続く――「あなた宛てのラブレターを添付しました。どうか読んでください」と。そして添付ファイル「LOVE-LETTER-FOR-YOU.TXT.VBS」には、ウイルス・コードが仕込まれていた。

デイヴィッド・ハーレー（David Harley、ESETシニアリサーチフェロー）によると、このウイルスが的中した要因の大半は、「ソーシャルエンジニアリングのまれに見る成功」だった。彼の説明はこうだ――「「まれに見る」という言葉通り、これはめったに見られないソーシャルエンジニアリングのやり方で、被害者が好奇心から、また何かのジョークが書いてあるかもしれないと期待して、この手紙を開封するよう誘導したのです」。

そして開封した被害者がそこに見たのは、実に、笑うにはほど遠いものだった。

私に手紙を書いてください

「フィリピン生まれのマルウェア「Love Bug」は、2人のコンピューター・プログラマー（Reonel RamonesとOnel de Guzman）の頭脳の産物だった。2人は逮捕されはしたが、当時のフィリピンにはマルウェア対策法がなかったため、不起訴処分となった。

ウイルスはそこから香港、ヨーロッパへと拡散し、最終的にアメリカ合衆国に到達した。それはちょうど朝、オフィスが開く時間帯だった。リサ・マイヤーズ（Lysa Myers、ESETセキュリティ研究者）はそのときのことを、こんなふうに振り返る。

「私がこのウイルスの拡散に忙殺された一日は、朝5時に始まりました。感染被害に遭った人々から届いた報告の多さは前例がないもので、早朝、その処理のために呼び出されたのです。本当にさまざまな人がいて、誰もが自分に起きた悲惨な出来事をつづっていました。政府機関事務所のメールサーバーが、ウイルスを仕込まれたメッセージの重さでダウンしたとか、おばあさんが、孫の写真がウイルスにめちゃくちゃにされたのに気付き、悲嘆に暮れているとか、そういう話です」

これらのメールは、一見無害に見えるだけでなく、誰か知り合いから送信されたように装ってもいる。おそらくワームは被害者のアドレス帳に侵入し、そこから自分の複製をプライベートや仕事上の知り合いに送り付けたのだろう。

「ラブレター」（LoveLetter）はこうして、先立つ「メリッサ」（Melissa）よりも大きな被害をもたらした。思えばメリッサもまた、1999年に登場した際、大量メール送信を悪用したのであった。

猛毒性のウイルス

添付ファイルをクリックすれば、それで一巻の終わり。感染するや否やウイルスは攻撃を始め、コンピューターシステム内のファイルを上書きし、また自分の複製をアドレス帳で見つけた連絡先にメールで送り付ける。

そしてこのウイルスは、莫大な損害を引き起こした。世界中で5,500万台のコンピューターに感染し、その被害総額は、5,500億円（50億ドル）～1兆1,000億円（100億ドル）に上るとみられている。

このウイルスに攻撃された最初の米国政府施設の一つでセキュリティ技術主任を務めるチェイ・コッブ（Chey Cobb）氏は、その拡散を食い止めるため、「事態が収まるまでインターネット接続を控えるよう」全政府機関に呼び掛けた。

英国議会、米国国防総省、CIAが、システムの被害を回避するため、インターネット接続を遮断したのに続き、たくさんの大企業が同様の対処を行った。

ウイルス被害以後

それでは、このウイルス被害からどんな教訓が得られただろうか。これ以後、企業は、メールボックスにウイルスが潜んでいる可能性についてユーザーに警告する別の仕方を探求するようになった、と言う者もいれば、古き良き方法に立ち戻り、オフィスのドアに注意書きを貼り付けた企業や、また急を要する場合に口頭での伝言を推奨した会社もある。そして世界中の上司は、部下のメールボックスに最初に届くメールが確実に、「ラブレター」に注意せよという警告メールとなるよう、あらゆる手を尽くしたのである。

もう一人のESETセキュリティ研究員ブルース・バレル（Bruce P. Burrell）は、メールボックス内にウイルスが見つかった場合、使える手段は何でも使って連絡を確保することの重要性を説く――「一つの連絡手段がやられてしまったら、別の使える通信方法は何でも使って、人々に連絡をつける必要があります。今日では、例えばソーシャルメディアを使ったり、企業のホームページに告知を載せたり、社内ネットワークで情報を流したりすることができるでしょう」と。

さらに加えて、 先のマイヤーズが説明しているように、そうすることで、セキュリティのプロたちは、「その場に適用されているポリシーや手続きを調整・変更し、最悪の抜き差しならない緊急事態にも迅速かつ一貫した仕方で対応する」という仕事が、ずっとやりやすくなるのである。

最後に、コンピューター・セキュリティとこれをかいくぐって侵入する方法、そのどちらもが進化を続けている中で、セキュリティシステムが外的脅威に対して効果的なのは、結局のところ、ちょうどそれを使うユーザー、つまり人間のセキュリティ意識が高い場合に限られる。というのも、自分のシステムをセキュリティソフトで防御したり、自分のデータのバックアップを取ったりする人は、まだまだ少ないからである。

データのバックアップを取る

そのときの気分で、クリックするしないを決めてしまってはいけない。一般的にアドバイスできるのは、添付ファイルを開く前に、常に二重のチェックを行う慎重さを心掛ける、ということだ。第一に、誰か信頼できる知り合いから送信されたように見えても、添付ファイルを開いたり、身に覚えのないメール(あるいはFacebookやインスタントメッセージなど)に貼ってあるリンクをクリックしたり絶対にしないこと、そして第二に、添付ファイルを開く前に、その送信者とされている人物に連絡して、本当にその人が自分に何かを送ったのかどうか、送ったなら、正確にどういう内容のものかを確かめることである。

書いてあることにどれだけ気をそそられようと、そんなリスクを冒すに値するほどのものなどそうそうないと、肝に銘じておくべきだ。