【公式ツイッター】

アカウント:HHNewsReports

記者が日々感じたことをつぶやいています

【公式ブログ】

HH News & Reports記者ブログ

HH Newsの記者が取材のこぼれ話などを綴るブログです!

10年2月~11年2月までの動画

連載「コンピュータウイルス事件簿・事件で追うウイルス史」

2012/11/29

File:7「2001年:Nimda~ウイルス史の結晶!? 超強力な感染力」

コンピュータ上のウイルスは、電子計算機の発祥とともに存在し、その数を増やしてきた。ジョーク・広告程度のプログラムから始まったものが、いまや国家安全を脅かす可能性のある悪質なものまで出てきている。驚異的に数を増やし、いまや数億種も存在するウイルス。しかし、その歴史を紐解いていくと、様々なウイルスが過去に生まれた技術の延長線上に存在することもわかる。

 File:7では、様々な感染経路を持ちWebサイト閲覧でもウイルスに感染するようになった「Nimda」について解説する。

Nimda

TYPE
:多機能型ワーム
BIRTH
:2001年
ROUTE
:インターネット
GOAL
:メアド収集、自身を送信した再感染、アタックによるサーバダウン

複数の感染経路


 Code Redに遅れること数カ月。米国での同時多発テロ事件の直後、感染を広げることに特化したとも言えるウイルスが登場した。「Nimda」と呼ばれるこのウイルスは、E-mailによる感染や、IIS(WindowsのWEBサーバソフト)の脆弱性を利用してバックドアを開いたり、直前に流行した「Code RedII」によって作られたバックドアを利用して感染したり、ファイル共有やWeb閲覧によって感染したりと、あらゆる手段を使って感染を計った。


 感染先もPC、サーバ双方が対象であり、2001年9月の時点で220万台が感染し、うち143万台はサーバだった。特に感染したサーバはHTMLがNimdaをダウンロードするように改ざんされており、ブラウザ次第では自動的に実行されたケースもあるため、これがもっとも大きな脅威となったと語る専門家もいる。


 またOutlookやOutlook Expressに修正プログラムを施さずに使った場合、脆弱性を突かれてプレビューを閲覧しただけでウイルスが自動実行されてしまう。Nimdaは、サーバやPCの設定を勝手に変更することで「拡張子を見えなくする」、あるいは「隠しファイルを表示しない」ようにして、感染しているかどうか、ぱっと見ではわかりづらくした。つまり、利用者の知識を超えたPCの機能そのものが脆弱性となったとも言える。これは現代においても通用する課題なので要注意だ。


 Nimdaによる直接的な被害は、まずOutlookやOutlook Expressやhtml、htmに含まれる電子メールアドレスを収集し、送信済みアイテムと受信トレイに保存されている電子メールから適当に選ばれたメールアドレスへNimdaをばら撒いていくこと。これにより「ウイルスが添付されたメール」を送付したことによる信用被害がある。また、このような手段により、ウイルスが添付されたメールがランダムに送信されたとしても、Nimdaに感染したために自分が他者にウイルスを送信している事態に気が付きにくい。


 ほかにもIISサーバを攻撃する際にトラフィックが増大し、サーバの転送速度が落ちる、あるいはサーバがダウンするなどの被害があった。

Nimdaには4つの感染経路が存在した
Nimdaには4つの感染経路が存在した

拡大とその後

 被害は急速に広がり、9月の後半になると日本でも多数の被害報告があがってくる。東京、千葉、宮城、島根、鹿児島などといった自治体のサーバやPCも被害にあったようだ。


 米国の調査会社によると世界全体の被害総額は700億円に達したという。2002年に行われた国内調査でも、2001年の被害が抜きんでており、さらに全体から見ても50%程度がNimdaかCode Redによる被害だという結果も出ている。


 Nimdaに関する報道には特徴的な点がある。当時から「決して新しくない技術を寄せ集めた」ワームであることが主張されていたのだ。つまりパターンマッチ的な対策では、過去に克服したはずのウイルスと同じ技術を使ったものでも、克服ができていないことが、ようやく一般的にも認識されるようになったとも言える。


 また、Nimdaは対策パッチを当てていれば問題がなかった点も課題として残った。特にわずか数カ月前に大流行したCode RedIIが開けたバックドアが利用されたことから、あれだけ報じられ、被害があり、しかもパッチを当てるだけの対策であっても、かなりの台数において未対策だった実態が明らかになった。隠しファイルの表示設定を変えるというPCの標準的な機能を使うだけで、見つかりにくくなっていたという事態も含め、利用者側のITリテラシーも問われた。


 これには、一部の利用者しかいなかったインターネットが、社会・インフラの一部として浸透した結果、これまでITに深く関わりを持たなかった幅広い層もITを使わざるを得なくなったことが背景としてある可能性が高い。


 現実世界に起きる犯罪は、警察という犯罪を防ぐシステムだけで完全になくすことはできない。ITも同じくシステムだけではなく、サイバー攻撃を防ぐためには利用者一人一人の意識が問われるという、象徴的な事件だったとも言える。

(井上宇紀)

>>File:8「2003年:Sobig」


HH News & Reports 関連おすすめ記事

NICTが警告。2012年に注意すべきサイバー攻撃とは?(2012/3/8)
元内閣官房副官房補に聞く「国」の情報セキュリティ(2012/1/26)
2012年、流行するサイバー攻撃を大胆予測(2012/1/23)

過去の連載

コンピュータウイルス事件簿File:6「2001年:Code Red」(2012/10/29)
コンピュータウイルス事件簿File:5「1999年:メリッサ」(2012/9/27)
コンピュータウイルス事件簿File:4.5「1992年:ウイルス作成ツール」(2012/8/30)
コンピュータウイルス事件簿File:4「1989年:PC Cyborg」(2012/8/23)
コンピュータウイルス事件簿File:3「1988年:モーリスワーム」(2012/7/2)
コンピュータウイルス事件簿File:2「1987年:クリスマスワーム」(2012/5/17)
暗号と暗号史[全12回](2011/3/22~2012/2/16)

【関連カテゴリ】

情報セキュリティ