最もメジャーなマルウェア「ワーム」

ネットへの好奇心で世界が大混乱した「Morris worm」

インターネット上で10％の機器に侵入した「Morris worm」

　1988年、コーネル大学の学生だったロバート・T・モリス氏が、インターネットの大きさを測ることを目的に、とあるプログラムを作成しました。それが「Morris worm」です。

　Morris wormはコンピューターへ潜入するとまず使用者へ気づかれないように自身の存在を隠します。そしてすでにコンピューターにMorris wormがいるかチェックし、バッティングしていた場合はランダムでどちらかが動作を停止するというプログラムでした。

　ところがこの動作停止には欠陥があり、一定の割合で何度も同じコンピューターへ侵入・増殖を繰り返すという、モリス氏も想定外の動作を始めます。こうなると同じコンピューターでいくつものMorris wormが動いてしまい、まともに動作しなくなってしまいます。現代で言うDoS攻撃と同じ効果で、コンピューターがダウンしてしまったのです。

　Morris wormの被害は凄まじく、マサチューセッツ工科大や米国国防総省をはじめ、最終的には約6000台ものUNIXマシンに侵入したと言われています。これは当時インターネットに接続していたマシンの10％にものぼる数字です。

　しかもコンピューターへの進入時に使われたログイン情報は、わずか400語の辞書と、ユーザー名と同じパスワード／逆順にした文字列など、現代から見るとセキュリティー強度が明らかに低いものでした。にもかかわらず、攻撃は「驚異的な確率」で成功したと言われています。また、この事件をきっかけに、米国「CERT/CC」をはじめとしたサイバーセキュリティー組織「CSIRT」が各国で発足しました。

怪しくても好奇心に勝てない……　「LOVELETTER」

　「LOVELETTER」は別名「I LOVE YOU」とも呼ばれ、2000年に世間を騒がせました。「I LOVE YOU」という題名の、ラブレターに偽装したメールを送り付けることが大きな特徴です。様々な亜種が出ましたが、多くは本文が「kindly check the attached LOVELETTER coming from me（訳:このメールに添付しているラブレターをチェックしてください）」という定型文でした。

　メールにはビジュアルベーシックスクリプト（VBS）の本体ファイルが添付されており、これを開くことで起動。ブラウザーのホームページを勝手に変更するほか、コンピューター内にある特定の拡張子を使ったファイルを、自分の複製ファイル（.vbs）で上書きしてしまします。

　そしてこのワームのもう一つの特徴は、当時利用者が多かったメーラー「Microsoft Outlook（Express含む）」のアドレス帳に登録されたメールアドレスを使い、そのすべてに自動でコピーを送りつけることです。もちろんメールの件名は「I LOVE YOU」でした。

　作者はフィリピンの専門学校生とされており、プログラム自体は特別に高度な技術もありません。しかも本文通りに「付属しているLOVELETTERをチェック」、つまりワーム本体となる添付ファイルを開きさえしなければ、起動することさえありません。それでもこのワームが爆発的に広がったのは、スクリプト型で改変が容易なこと、そして顔の見えない相手から突然送られてくる「I LOVE YOU」というメールのタイトルが、多くの人の興味を惹きつけたことにあるのでしょう。

単独で動くマルウェア「ワーム」

　Morris wormやLOVELETTERなどは「ワーム」と呼ばれる最もメジャーなタイプのマルウェアです。電子メール、USBメモリーなどのリムーバブルドライブ、共有フォルダやネットワークなど、様々な経路で攻撃対象のコンピューターへ進入します。

　ワームの大きな特徴は、特定のプログラムに寄生・感染しないこと。ウィルスと違ってファイルやプログラムを改変せずに、単独で起動・自己複製します。その増えてゆく様がネットワーク内をうごめく芋虫をイメージさせることから、英語で「虫」と名付けられました。

　主な影響としては、システムやネットワークなどのリソースを消費すること、初期化を含むシステム内のファイル破壊、システムの異常終了などなど。挙げればキリがないほど多種多様な悪影響があり、中には別の種類のワームを多重起動させるものもあります。