1988年、インターネット創生期に世界的に報道され注目を集めた「「Morris worm(モリスワーム)」をご存じでしょうか。
作成者が裁判で有罪となった「世界初」のインターネットワームは一体どんなものだったのか?作成したロバート・T・モリス氏がどんな人物だったのか?また、IT社会にどんな影響を与えたのか?
これらについて、文献などから紐解いてみたいと思います。
- もくじ
1.世界初!?のインターネットワーム「Morris worm(モリスワーム)」事件
1-1 「worm(ワーム)」とは?
そもそも「worm(ワーム)」(ワームウイルス)とは、有害な動作を行うソフトウェアのことです。インターネットなどを経由して、他のコンピュータにソフトウェアの弱点や問題点(脆弱性)などを足がかりにして侵入し、さらに他のコンピュータへの複製をくり返していき、システム設定の変更や情報漏洩、破壊などを引き起こします。「worm」はもともと、芋虫のような虫のことを指します。
コンピュータウイルスの一種ですが、ウイルスが宿主、寄生先を必要とするのに対し、「worm」は単体で実行できる点が異なります。この「worm」の概念は、1949年には「コンピュータの父」として知られるジョン・フォン・ノイマン(John von Neumann)が「自己複製するオートマトン(Automaton)」として言及しました。
「worm」と呼ばれるようになったきっかけは、1975年に、SF作家ジョン・ブラナーがSF小説『衝撃波を乗り切れ(The Shockwave Rider)』(日本版:安田均訳・集英社刊)の中に、自己増殖するプログラム「tapeworm」を登場させたからです。この後、自己増殖するコンピュータウイルスが「worm」と呼ばれるようになっていました。
なお、「Morris worm」は、まだコンピュータウイルスやインターネットワームといった話題が一般的でない時期に現れたことから、記事によっては単に「インターネットワーム」と表記されていることがあります。
1-2 1988年11月、インターネットワーム侵入開始
1988年11月2日、マサチューセッツ工科大学(MIT)から「世界初」のインターネットワーム「Morris worm(モリスワーム)」の増殖がはじまりました。実はこれ以前にもインターネットワームが作成されていた可能性がありますが、実際に被害を出し、世界に広く報道されたことなどから「Morris worm」が世界初といわれることが多くなっています。
「Morris worm」は、作成者のロバート・T・モリス(Robert Tappan Morris)氏のラストネーム(名字)と「worm」を繋げて名付けられています。
1-3 「Morris worm」増殖と"攻撃"の特徴
「Morris worm」は、自己増殖を続けていくことを動作の目的としています。他のコンピュータに侵入するため、UNIXシステムの脆弱性(欠陥)を利用します。
後日行われた裁判の資料によると、「Morris worm」の侵入方法は以下の4点でした。以下のいずれかを利用して他のコンピュータに侵入し、自己増殖をくり返していきます。一つではなく、いくつもの手段を用いて侵入を試みるなど、"ずる賢い"特徴がありました。
(1)電子メールを送受信する「SEND MAIL」の欠陥を利用
(2)「fingerdemon」プログラムのバグを利用
(3)「trusted hosts(信頼できるホスト)」機能の悪用
(4)パスワード推測プログラムの利用
(「US v. Morris, 928 F. 2d 504 - Court of Appeals, 2nd Circuit 1991 - Google Scholar」より意訳)
「Morris worm」作成者のロバート・T・モリス氏は、攻撃の意図はなかったと後に発言していますが、自己増殖の速度設定に問題がありました。
「Morris worm」は、コンピュータがシャットダウンされるときに「kill(プロセス終了)」されるよう作られていました。しかし、シャットダウンはUNIXシステムでは週に1~2回ほど発生するイベントにすぎません。
それに対し、「Morris worm」は、侵入したコンピュータ内に自分自身の複製が存在するか否かを確認し、その答えが「Yes(侵入しない)」「No(侵入する)」に関わらず、7回のうち1回は無条件に侵入するよう設定されていたのです。これが爆発的に増殖を続ける原因となり、大きな被害を発生させてしまったのでした。
1-4 事件の被害は最大100億円前後に及ぶ
「Morris worm」では、非常に多くのコンピュータが影響を受け、インターネットに大きな負荷がかかって機能しなくなるなど、当時、世界最大規模のマルウェア被害を引き起こしました。被害規模については諸説あり、どれが正しいかわかりませんが、当時、60,000台を超えるコンピュータがインターネットに接続されていて、その約10%が被害を受けたともいわれています。
多くのシステムが停止し、アーパネット(ARPANET)をはじめとする軍事関連システム、施設をはじめアメリカの政府機関も影響を受けました。のち、裁判では損害額は「200ドルから53,000ドル以上」とされましたが、アメリカ政府説明責任局(GAO)は損害額を1,000万ドルから1億ドルと見積もったようです。単純な計算ですが、1ドル=100円で計算すると最大100億円前後の被害があったことになります。
2.Morris wormの作成者「ロバート・T・モリス」とは?
2-1 「ロバート・T・モリス」氏はどんな人物?
「Morris worm」の作成者、ロバート・T・モリス氏は、1965年生まれで、事件当時はコーネル大学の学生でした。
現在、コンピュータ科学者となり、実業家としても知られています。2022年現在は、マサチューセッツ工科大学(MIT)で教授を務めています。
2-2 「コンピュータ詐欺と濫用に関する法律」で世界初の有罪判決を受ける
「Morris worm」を世に放ったことで、ロバート・T・モリス氏は1989年に起訴され、1986年に成立した「コンピュータ詐欺と濫用に関する法律(CFAA:The Computer Fraud and Abuse Act of 1986)」で1990年に有罪判決を受け、この法律での有罪は「世界初」となっています。
「Morris worm」が増殖を開始して被害を広げていく状況と犯人(作成者)が判明するまでの顛末については、当時、ローレンス・バークレー国立研究所のシステム管理者を務めていた天文学者クリフォード・ストール氏の著書『カッコウはコンピュータに卵を産む(上・下)』(池央耿・訳:草思社、1991)の下巻「エピローグ――ウイルス侵入」に、著者(ストール氏)の視点から記されています。希有なコンピュータ犯罪を取り扱ったノンフィクションの末尾を彩る印象深いエピソードが「Morris worm」事件なのです。
同書でストール氏は、ロバート・T・モリス氏の父親がコンピュータ安全センターの実力者・ロバート・H・モリス氏(暗号学者)であることに触れ、父子共謀はないとしつつ共犯の存在を「噂」として記しています。
のちに私はハーバードのコンピュータ科学科の二、三人の友人が犯行に手を貸したという噂を耳にした(ハーバードの学生ポール・グレアムはロバート・モリスに電子メールで「輝ける大作戦のなりゆきは?」と状況を尋ねている)。
『カッコウはコンピュータに卵を産む(下巻)』「エピローグ――ウイルス侵入」より引用
ここで登場するポール・グレアム氏は、1995年にロバート・T・モリス氏と共にユーザーがWeb経由で手軽にインターネットストアを作成できるASP(Application Service Provider)「Viaweb」を設立。Viawebは1998年にYahoo!に買収され、「Yahoo!Store」になりました。
この時期、ロバート・T・モリス氏は「Morris worm」事件の影響で表に出ず、「ジョン・マッカーティアム(John McArtyem)」という仮名を使っていたことをポール・グレアム氏が明かしています。
ポール・グレアム氏はプログラマー、エッセイストとして活躍しており、『ハッカーと画家 コンピュータ時代の創造者たち』(日本語版:オーム社刊)などの著書でも知られています。
2-3 「Morris worm」の作成動機は?
ロバート・T・モリス氏は損害を与える意図で「Morris worm」を作ったわけではないと話しています。裁判では「セキュリティ上の欠陥を利用することでネットワークのセキュリティ対策の不十分さを証明」するために「Morris worm」を作成したと作成動機を述べました。
US v. Morris, 928 F. 2d 504 - Court of Appeals, 2nd Circuit 1991 - Google Scholar
作成動機について、様々な角度から分析がされていますが、真の意図は明らかになっていないとされているようです。なぜなら、いくつもの手段を用いて侵入を試みたり、他にも疑問符の並ぶ挙動が見受けられたりするからです。
例えば、「Morris worm」はマサチューセッツ工科大学(MIT)から増殖を開始しましたが、ロバート・T・モリス氏は当時コーネル大学に在籍していました。これは、作成者がコーネル大学にいることを隠す意図があったのではないかといわれています。また、解読が難しくなるような工夫がプログラムにされていたとも指摘されています。セキュリティ対策の不十分さを証明するために「ここまでするか?」といったニュアンスのものではありますが、これもまた興味深い話だと思います。
3.「Morris worm」がIT社会に与えた影響
3-1 インターネットセキュリティの研究が活発化
「Morris worm」事件後、CERT/CC(CERT Coordination Center:アメリカのインターネットセキュリティ研究・開発センター)をはじめとするCSIRT(シーサート:Computer Security Incident Response Team)が世界各国に現れました。
CSIRTとは、コンピュータやインターネットでセキュリティ問題が発生していないかを監視し、問題が発生すると、調査や原因解析を行う組織です。つまり、「Morris worm」はCSIRTを世界各国に発足させ、インターネットセキュリティの研究が活発化するきっかけとなりました。
このことから、「Morris worm」は※Jargon(ジャーゴン)で「Great Worm」と呼ばれることがあります。ロバート・T・モリス氏の作成目的が達成されたということなのでしょうか。
※Jargon:ネット俗語(スラング)、ハッカー用語。業界用語、隠語の意
3-2 インターネットワームの脅威が広まる結果に
1988年以降、インターネットの規模拡大もあり、インターネットワームなどマルウェア感染が急増しました。
著名な例としては、MicrosoftのWebサーバーソフトウェアIISを狙った「Code Red(コードレッド;2001年)」、Microsoft Windowsを標的とする「Conficker(コンフィッカー;2008年以降)」などがあげられます。
ただし、インターネットワームの出現はノイマンによって予言されていたので、仮に「Morris worm」が登場しなくても、現在の状況が生まれていた可能性は高かったでしょう。
そのため、これらが「Morris worm」による影響だとは言い切れません。今やインターネットセキュリティは、企業でも個人でも、ネットを利用するなら重視し取り組むべき課題の一つとなっています。
まとめ
「Morris worm」事件をインターネットワームの可能性を示した事例として見ると、今後もインターネット事件簿の「パンドラの箱」を開けた象徴的な存在として語り継がれていくことになるのではないでしょうか。
しかし、どのような意図で作られたにせよ、「Morris worm」事件は世界中にインターネットセキュリティの意識を広めるきっかけの一つとなりました。その意味では、たしかに「Great Worm」といえるのかもしれません。