連載「コンピュータウイルス事件簿・事件で追うウイルス史」

2012/8/23

File:4「1989年:PC Cyborg~ついに出た“金銭を要求する”ウイルス」

コンピュータ上のウイルスは、電子計算機の発祥とともに存在し、その数を増やしてきた。ジョーク・広告程度のプログラムから始まったものが、いまや国家安全を脅かす可能性のある悪質なものまで出てきている。驚異的に数を増やし、数億種も存在するウイルス。しかし、その歴史を紐解いていくと、様々なウイルスが過去に生まれた技術の延長線上に存在することもわかる。

 今回はウイルスを使ってデータの暗号化、復元を行い、データを「人質」に取ることで金銭を要求した世界で初めてのウイルス「PC Cyborg」について解説する。

PC Cyborg

TYPE
:トロイの木馬、ランサムウェア
BIRTH
:1989年12月 パナマ共和国
ROUTE
:フロッピーディスク(郵送)
GOAL
:データの復号を人質にした身代金要求

経緯・挙動


 1989年12月。同年6月にスイスで開催されたAIDS国際学会の出席者や欧米の金融機関のシステム責任者を中心に、世界中で2万枚のフロッピーが送付された。送られてきたフロッピーのラベルには「エイズ・ウイルス情報入門」と書かれており、プログラムをインストールするとエイズに関する質問が行われて、感染する危険性の診断が行われる。


 しかし、本来のプログラムはまったく違うものだった。挿入されたフロッピーからウイルスが自動的に動き出し、ユーザのコンピュータに勝手にインストールしてしまう、いわゆる「トロイの木馬」だったのだ。


 このウイルスは、インストールに際して隠しファイルとディレクトリを作成し、PC起動時に自動実行されるプログラム(Autoexec.bat)を置き換える。さらにインストール後は、PCの起動回数をカウントし、90回程度を越えるとすべてのファイル名を暗号化してしまう。そしてPC Cyborg社の口座へ378ドルを送金する送金指定書を印刷する。送金すると復号化するプログラムが送られてきたようだ。


 このようにファイル名やあるいはデータなどを暗号化することで「人質」を取り、復号して欲しければ「身の代金(ransom、ランサム)」を払うように要求する「ランサムウェア」。得た情報を換金するなどの方法により、間接的にウイルスで金銭を得る方法はあれども、直接的に金銭を要求する手段として使ったのは記録に残っている限りの“この事件”が「世界初」である。

日本にも数枚送られてきたようだが実被害までにはならなかった(画像のフロッピーとウイルスは関係ありません)
日本にも数枚送られてきたようだが実被害までにはならなかった
(画像のフロッピーとウイルスは関係ありません)

事後と影響


Thankfully, the doctor’s trojan had a weakness. It encrypted the file names using symmetric cryptography. Once experts had a chance to analyze the malcode and encrypted tables, it became simple to reverse and determine who created the ransomware.(CBS Interactive 2010年11月の記事より引用)
HH News & Reports訳:幸いなことに博士がばら撒いたトロイの木馬は1つ弱点を持っていました。それはファイル名の暗号化に使用されていたのが対称暗号(symmetric cryptography)だということです。エキスパートが悪意のあるコードと暗号化テーブルを分析する機会があれば、ランサムウェアを誰が作成したか簡単に特定できます。

 不幸中の幸いと言おうか、ばら撒かれたウイルスによるファイルの暗号化はそこまで複雑な手段にはなく、その道のエキスパートが見れば復号できるレベルだったようだ。ちなみに本文中で説明されている対称暗号とは、暗号化・復号のための鍵(=暗号化・復号するための情報)が同一である暗号方式のことを指している。


 また「対称暗号だから解読が楽だった」というような記述もあるが、実際には対称暗号であると復号が容易というわけではない。ただ解読が簡単にできたことは間違いないので実際に対称暗号とは関係なく安易な方法だったのだろう。詳細は、暗号と暗号史の8回 参照。


 さらにこのウイルスでは「パナマの指定銀行口座(PC Cyborg社の口座)に378米ドル」と使用する口座を明示してしまっている。そのため、トロイの木馬の解析と、口座から足取りと辿る方法により、犯人である39歳のヨゼフ・ポップ博士がまもなく特定され、逮捕に至った。本人は「身の代金はAIDSの研究に使う予定だった」と裁判で証言している「確信犯」だったようだが、調査で精神疾患であったことも判明している。


 このウイルスは振込先の企業名から「PC Cyborg」と呼ばれる。またエイズ・ウイルス学会の名簿を使ったり、ウイルスの診断ソフトを名乗ったりしたことから「エイズ・ウイルス事件」と言われることもある。


 口座から足取りをたどられてしまうため、運用が難しかったようで「ランサムウェア」が、その後すぐに拡大する動きはなかった。しかし2000年代に半ばになり、インターネットのみによる金銭やりとりが盛んになると、あわせてランサムウェアも再び姿を見せる。2005年には「GPCode」(PGPcoder)、2006年には「Cryzip」などが出てきており、被害も出ている。


 「GPCode」は復号するためのクラッキングにはかなりの時間を要する暗号化されたため復号は容易ではない。さらに犯人側はウイルスを送る組織ごとに復号のための鍵を変えることも可能であり、ほかの組織で復号に成功した鍵を流用することもできない。やられない防御ができないなら侵入させないようにするしかないが、現実的には難しく、現在も問題となっている。


 近年、金銭の要求というと架空請求のような詐欺行為の方が多いが、ランサムウェアは架空請求ではないため放置すると物理的な被害が発生する。ソフトウェアを更新することでセキュリティホールを作らないようにする、ファイルのバックアップを取るようにする、組織にあったセキュリティソフトを吟味しインシデント体制を整えるなど、ごく一般的な対策で防衛するのが肝要である。

(井上宇紀)

>>File:4.5「1992年:ウイルスツールキット」


【関連カテゴリ】

情報セキュリティ