連載「コンピュータウイルス事件簿・事件で追うウイルス史」
File:3「1988年:モーリスワーム~ウイルスの恐ろしさを知らしめる」
コンピュータ上のウイルスは、電子計算機の発祥とともに存在し、その数を増やしてきた。ジョーク・広告程度のプログラムから始まったものが、いまや国家安全を脅かす可能性のある悪質なものまで出てきている。驚異の進化を遂げ、数億種も存在するウイルス。しかし、その歴史を紐解いていくと、様々なウイルスが過去に生まれた技術の延長線上に存在することもわかる。
今回は、全米にウイルスの恐ろしさを知らしめたウイルス「モーリスワーム」を紹介する。
モーリスワーム(Morris Worm)
- TYPE
- :ワーム
- BIRTH
- :1988年アメリカ
- ROUTE
- :インターネット
- GOAL
- :システムの脆弱性から侵入を繰り返して、自身を複製する
ウイルス史上初の大事件
1988年11月2日。米国コーネル大学の計算機科学科の大学院生であったロバート・タッパン・モーリス・ジュニアは、マサチューセッツ工科大学(MIT)から「ワーム」という種類のウイルスを世に放つ。アメリカの大学生が作りだしたこのウイルスは、単に「インターネットワーム」メール配送経路を決めるプログラム“sendmail”の脆弱性をついたことを冠して「sendmailウイルス」時期をもって「NOVEMBERウイルス」あるいは製作者の名前をとって「モーリスワーム」などと呼ばれる。
脆弱性などの認識が薄かった時代。「モーリスワーム」による攻撃は、インターネット(ARPANET)に接続していたPCの「1割」にあたる6000台をマヒさせる史上初・最大規模の「DOS攻撃」となった。
挙動と攻撃
99行のC言語で作られたモーリスワームの基本的な動きは、システム(UNIX)の脆弱性をついて自分自身を複製し、ばらまくというもの。一方でデータを削除するような悪質性は備えていなかった。しかし様々な脆弱性から侵入を何度も繰り返し、それによりPCに過大な負荷をかけることで、次々と感染したPCをサービス停止に追い込んでいく。
モーリスワームの特徴的な点としては「辞書攻撃」を行なったことも、しばしば挙げられる。暗号化されたパスワードは通常、解読できないため、誰でも読めるところに置いてあった。この状態を逆手に取り、モーリスワームは生年月日、名前、UNIX辞書、あらかじめ候補として登録されていた文字列などを入力し、暗号化されたパスワードと比較することで解読に成功していった。
また、インターネットで接続されたユーザ同士は、メールで緊急のやり取りをすることが当たり前となっていたため、互いの電話番号を知らなかったことも問題点として言われた。「モーリスワーム」が蔓延した際、緊急の連絡をしようにもインターネットが使えず、電話番号もわからないため、一部対処法を理解していたユーザがほかへ連絡することすらできず、被害を広げたのだ。
これらの脆弱性についてはワームの事件に際して、対処パッチが配布された |
被害拡大、沈静化とその後
1988年の11月2日から3日に猛威をふるった「モーリスワーム」。ローレンス・リバモア研究所やスタンフォード研究所、パロアルト軍事研究所、NASAなどに次々と侵入し、被害を広げていく。
この事態に対して、MITの研究者などUNIXの知識があるスタッフが徹夜で対策に臨み、モーリスワームの動きを解析。メール送信プログラムなどの脆弱性を利用していることを突き止めた。脆弱性を塞ぐパッチプログラムが開発されると、出現してから 2、3日程度で大半のモーリスワームは駆逐される。
3日の午後には米大手新聞のニューヨーク・タイムズに「学生仲間」と名乗った人物により「わずかなプログラムのミスからウイルスが軍事データ網の中で計画したよりも数百倍の早さで増幅し、思いがけない事態になってしまった」(1988年11月4日朝日新聞)という電話が入り、ニューヨーク・タイムズやワシントン・ポストの1面トップを飾る記事となった。5日になり、ついにモーリス・ジュニアの犯行だということが判明する。
MITから一学生が放ったウイルスによって、大学や国防総省などの受けた被害額は数百万ドル、コンピュータウイルス工業学会の試算では9700万ドルになるとも言われ、ウイルス作成者のモーリス・ジュニアは、1990年に1万ドルの罰金や3年間の保護観察、400時間の奉仕活動という処分を受けた。ちなみにモーリス・ジュニアは2012年6月現在、MITの准教授である。
モーリスワームのコードに、拡散を止める機構がなかったり、あるいはウイルスが見つかりにくくなるような細工がある点から「悪意が読み取れる」と指摘する専門家もいる。そのため、学生仲間と名乗る人物などが証言している「プログラムのミスによる拡散」が、真相かどうかはわからない。
いずれにしてもモーリスワームは、国防総省が作ったインターネット(ARPANET)に大損害を出した。事件は、米国コンピュータセキュリティセンターのチーフ科学者であるモーリス・ジュニアの父が「コンピュータウイルスの危険性を気づかせた」と息子をかばいつつも発言しているように、インターネットの萌芽ができつつあったこの時代、以降のITのありように大きな影響を与える。
事態収拾後に、国防総省が計算機科学の分野では名高い「カーネギーメロン大学」にCERT/CC(Computer Emergency Response Team/Coordination Center、コンピュータ緊急対応センター)を設立したことなどは、情報セキュリティの重要性が認識されたことの証左だろう。
また前述の通り、この時代にはインターネット上に電話番号や住所などを公開する習慣はなかったが、設立されたCERT/CCのHPには、連絡先に電話番号、FAX番号、住所も併記された。これは「モーリスワームが電子メールで連絡が出来なかったため広がった」教訓も踏まえてのことだろう。
HH News & Reports 関連おすすめ記事
NICTが警告。2012年に注意すべきサイバー攻撃とは?(2012/3/8)元内閣官房副官房補に聞く「国」の情報セキュリティ(2012/1/26)
2012年、流行するサイバー攻撃を大胆予測(2012/1/23)
過去の連載
コンピュータウイルス事件簿File:2「1987年:クリスマスワーム」(2012/5/17)コンピュータウイルス事件簿File:1「1986年:パキスタン・ブレイン」(2012/4/12)
コンピュータウイルス事件簿File:0「1984年:コンピュータウイルスを定義」(2012/3/15)
暗号と暗号史[全12回](2011/3/22~2012/2/16)
【関連カテゴリ】