連載「コンピュータウイルス事件簿・事件で追うウイルス史」

2012/9/27

File:5「1999年:メリッサ~新型か焼き直しか? 複合型マクロウイルス」

コンピュータ上のウイルスは、電子計算機の発祥とともに存在し、その数を増やしてきた。ジョーク・広告程度のプログラムから始まったものが、いまや国家安全を脅かす可能性のある悪質なものまで出てきている。驚異的に数を増やし、いまや数億種も存在するウイルス。しかし、その歴史を紐解いていくと、様々なウイルスが過去に生まれた技術の延長線上に存在することもわかる。

 今回はメールアドレス帳を利用して感染を広げるマクロウイルスとして大流行した「メリッサ」について解説する。

メリッサ

TYPE
:ワーム、マクロウイルス
BIRTH
:1999年、アメリカ
ROUTE
:メール添付DOCファイル
GOAL
:自己拡散によるサーバへの高負荷とマクロ使用不可

背景


 1999年、メールを経由して「Melissa(メリッサ)」がばら撒かれた。表面上は、マイクロソフト社のワープロソフトであるWordで作成された、ただの文書ファイルをメールに添付したもの。しかし、作業を自動化する際などに使われるコンピュータ言語“マクロ”で書かれたウイルス(マクロウイルス)が埋め込まれており、この添付ファイルをクリックするとマクロウイルスが実行される。


 実行されたマクロウイルスは、Outlookを利用して、アドレス帳に登録されているユーザから50名を選択、同じようにメリッサに感染した文書ファイルをメールに添付して送信する。また、Wordの標準テンプレートファイルにもメリッサを感染させるため、以降、Wordで作成した文書ファイルはすべてメリッサが感染したファイルとなる。このマクロ動作によって、メリッサは自動的に拡散していった。


 さらに、アドレス帳から送信先が選ばれるため、メリッサに感染した文書ファイルは必然的に知り合いからのメールとなり、これが受信者の油断を誘い、被害を広げる原因となった。


 メリッサはデータの破壊活動は行わない。感染を隠すためにマクロの警告機能を無効化し、ツールメニューのマクロコマンドなどを使用不可にする。最大の攻撃となったのはメールを大量に送信することによる「サーバへの極端な負荷」だ。


 ほかにもWordはビジネスで使うツールのため、取引先へウイルスの添付されたメールを送ってしまうケースがあとを絶たなかった。そのため、仮に直接的な被害がなくても「信用問題」に繋がってしまう点も取りざたされた。


 メリッサによる被害額は8000万ドルともいわれ、犯人である「デビット・スミス」は10年ほどの禁固刑を言い渡されるだろうとされていた。しかし、逮捕後FBIのハッカー捜査に協力したためか、結局20カ月の禁固刑となる。


アンチウイルス技術の黄昏

 メリッサからさかのぼること8年。1991年に「ミケランジェロウイルス」というものが出現した。ウイルスベンダーはこのウイルスが全世界で500万台の被害をもたらすと発表したが、実際には5000~10000台程度の被害で終わっている。ベンダー側は「警告のたまもの」と主張したが、この事件はアンチウイルスベンダーに対する不信感をもたらす“種”をまいてしまった。


 そしてメリッサが事件を引き起こしたこの時は、ミケランジェロがまいた種が、アンチウイルスソフト全般に対して感じる“頼りなさ”として萌芽した瞬間かもしれない。


 メリッサは今まで「当連載」で出てきた「技術」の延長上に存在するウイルスでしかない。つまり決して目新しいウイルスではないはずなのに、甚大な被害を出してしまったのだ。

「最も近いShareFunでも2年の間隔があったが対策はできなかった
最も近いShareFunでも2年の間隔があったが対策はできなかった

 一部では「初めてのメールアドレスを利用した攻撃」「史上初のネットワークの破壊を狙った攻撃」などとも表現もされていた。しかしメリッサに使われた「知り合いを装ったメールでファイルを開かせようとする」「メールアドレス帳を利用して自身を再配布する」という手法は、File:2で紹介した1987年の「クリスマスワーム」で利用された手法そのもの。「ネットワークを破壊する攻撃」はクリスマスワームも部分的に達成していたし、大きなものではFile:3、1988年のモーリスワームが有名である。


 またマクロウイルス自体はFile:4.5で紹介しているように高級言語を使ったウイルスの新しい作成手段として1995年には確立しており、1997年には「ShareFun」という「メールで広がるマクロウイルス」も発見されている。


 ウイルスの数が少なかった時代に、特定のウイルスに対する「ワクチン」という1対1の防御方法から始まった現在のアンチウイルス技術。しかしこの技術は1999年の時点で、過去に出たウイルス技術の寄せ集めすら防ぐことができないほど“遅れた技術”になっていた。


 すでに当時から「現在のアンチウイルスソフトでは、少しコードを変えられただけで対策できなくなる。しかし変種・亜種を検知するように調整すると正常なファイルも検知してしまう」という問題点に、極一部の専門家は気づいてはいた。しかし、それらの専門家らも「手だてがない」「解決手段はない」という結論に至り、解決できなかったようだ。


 メリッサから10年以上が経過した現在も、実はこの課題は棚上げされたままで解決していない。そのため当時と変わらず「以前の手段にちょっとした改良を加える」という手段で数を増やすウイルスに対して、ベンダーが根本的な対策を打ち出せないまま、被害は増え続けている。消耗戦とも言えるコンピュータウイルスとの“開戦の狼煙”を上げたのがこのメリッサかもしれない。

(井上宇紀)

>>File:6「2001年:Code Red」


【関連カテゴリ】

情報セキュリティ