1990年代末から2000年代初頭、大いに世間を騒がせたのがコンピュータウイルス「メリッサ(Melissa)」とワーム「LOVELETTER」です。
この2つは少し前後するタイミングで発生していますが、共通する問題点や影響があると指摘する人もいます。
これら20世紀末から21世紀初頭のサイバーセキュリティ事件が、現代にどのように影響しているのか、見ていきたいと思います。
- もくじ
1. 「メリッサ」と「LOVELETTER」が登場した背景
「メリッサ(Melissa)」と「LOVELETTER」が登場した背景には、1990年代後半から2000年代初頭に世界的にインターネットが広まり、コミュニケーションツールとして電子メールが普及したことがあります。
当時、多くの企業や家庭でインターネットが一般的に使われるようになり、電子メールが積極的に使われるようになっていました。
しかしその反面、セキュリティ意識や対策が不十分だったことなどが、「メリッサ」や「LOVELETTER」の被害を広めてしまったのではないかといわれています。
2. 「メリッサ」は怖さより鬱陶しさが特徴のコンピュータウイルス
2-1 メリッサ(Melissa)とは?
メリッサは、1999年3月に発見されたコンピュータウイルス(マクロウイルス)です。
メリッサは当時から広く使われていた「Microsoft Word」の「97」「98」「2000」のマクロ機能を使って動作し、「Microsoft Outlook」を足がかりにして急速に拡散しました。
メリッサの名は、作者の知り合い女性の名前から付けたといわれています。
メリッサは、受信者が添付ファイルを開くと、自動的にOutlookのアドレス帳に登録されている50人に同じウイルスを含むメールを送信するという動作を行いました。このため、瞬く間に世界中に広がり、多くの企業や個人のコンピュータに被害をもたらしました。
2-2 「メリッサ」の技術的特徴と感染経路
メリッサはアメリカのデイヴィッド・L・スミス(David L. Smith)氏によって作成されました。
スミス氏は当初、メリッサが大きな被害をもたらすと考えていなかったようです。ZDNETの記事によると、被害を防ぐための機能を盛り込んでいたが、大きな被害が出ると思っていなかったと裁判で述べたようです。
メリッサウイルスの技術的特徴の中で大きいのは自己拡散能力の高さです。メリッサは電子メールを介して感染を広めましたが、メールの件名には「Here is that document you asked for... don't show anyone else ;-)」(あなたが依頼した書類です...他の人には見せないで ウインク顔文字)とあり、「list.doc」というWordファイルが添付されていました。
受信者がこのファイルを開くと、(Wordのマクロが動作する場合)マクロが実行されて、ウイルスが発動する仕組みです。
次に、メリッサはMicrosoft Outlookのアドレス帳から50人の連絡先を得て、自動的にウイルスを含むメールを送信する......という感染の流れです。
つまり、Word文書を開くだけでウイルスが拡散するため、多くの人が知らないうちに感染してしまいす。しかも、感染者のOutlookのアドレス帳から「次」が選ばれるので、ターゲットは知り合いから送られてきたメールを受け取ることになります。知人からメールが送られてくるシチュエーションを考えると、メールが開かれウイルスに感染してしまう確率は高かったと考えられます。
メリッサのメールが全て動作するわけではないですし、防がれることもあったでしょう。また、メリッサで使われていたコードにはWindows版でしか動作しないものが含まれていたのですが、そもそも当時MacにMicrosoft Outlookはなかったため、オリジナル版はMacでは感染しませんでした。
しかし、1が50倍近くに増え、さらに50倍に増え......となると、3段階目ですでに感染数は12万を越えます。厄介だったのは、メリッサに感染した文書が共有ディスクやネットワークドライブに保存されると、そこからも拡散してしまったことです。
これにより、企業内ネットワークでは爆発的に広まることになり、メールが「止まる」事態を引き起こし、業務に重大な支障をきたすこととなりました。あまりのメールの数に、一部では「怖い」ではなく「鬱陶しい」と評されたのです。
2-3 「メリッサ」によって露呈したセキュリティの脆弱性とは
メリッサは、多くの企業や個人のコンピュータシステムに甚大な被害をもたらしました。
Outlook使用率が高く、ネットワークもあった企業はとくに被害が大きかったようです。ここから、重要と思われるセキュリティの脆弱性が明らかになりました。メリッサの被害が拡大した要因としては以下のようなことが考えられます。
ソーシャルエンジニアリング的手法だった
まず、電子メールの添付ファイルに対して、当時のユーザーの警戒心が不足していたこと。とくに知り合いから送られてきたものは、信頼できるものとしてすぐに添付ファイルを開いてしまっていたようです。メリッサが簡単に、爆発的に拡散した理由の一つです。
また、オリジナル版ではタイトルに顔文字が入っているので、より警戒されにくかったと思われます。ソーシャルエンジニアリング的手法だったといえます。
電子メール等を使った自己拡散型の脅威への対策が不十分だった
当時のメールシステムやセキュリティソフトウェアは、メリッサのような自己拡散型のウイルスに対して十分な対策を講じていなかったことがあげられます。
当時も企業はセキュリティに注力していましたが、多くの組織で、裏をかかれる格好で拡散を防ぐことができませんでした。
マクロウイルスに対する備えが薄かった
マクロウイルスに対する認識、対策不足も問題でした。マクロ機能は便利である一方で、悪意のあるコードを仕込める仕様でした。
マクロによるリスクは一般的には理解されていなかったので、対策が遅れていた一面もあります。
3. それは要らない「LOVELETTER」
3-1 「LOVELETTER」とは?
「LOVELETTER」(別名「ILOVEYOU」)は、2000年5月に発見されたコンピュータウイルス、ワームです。
自己複製機能を持つ「ワーム」として分類されています。フィリピンのプログラマーによって作成されたとされていますが、記事によってはソースコードの内容などから共同開発説もあります。このワームは、電子メールを介して急速に拡散して、世界中の数千万台のコンピュータに被害を与えました。
その名の由来となった、「I LOVE YOU」という件名のメール(LOVE LETTER)で送信され、受信者が添付ファイルを開くと、Outlookのアドレス帳にあるメールアドレス全てに自動的にコピーを送信し、感染が広める仕組みとなっています。
3-2 「LOVELETTER」の感染経路と特徴
「LOVELETTER」の主な感染経路は、電子メールでした。知り合いのアドレスから、「I LOVE YOU」と題された電子メールが送られてくるので、多くの受信者がこのメールを開きました。
さらに「LOVE-LETTER-FOR-YOU.txt.vbs」という添付ファイルがあり、Windowsの初期設定もあり、拡張子を表示しない設定をしている人には「LOVE-LETTER-FOR-YOU.txt」と無害なテキストファイルと思われ、開かれることが多かったようです。
しかし「.vbs」とあるように、実際にはVBScript(Visual Basic Scripting Edition)ファイルで、開かれるとワームが発動します。ワームが実行されると、感染したコンピュータ内のファイルを検索してから「.vbs」のスクリプトファイルとして「LOVELETTER」複製。つづいて、Microsoft Outlookのアドレス帳にアクセスして、全ての連絡先に同じ「ILOVEYOU」メールを送信することを繰り返しました。このプロセスにより、「LOVELETTER」は短時間で世界中に拡散し、被害を広げました。
問題だったのは「LOVELETTER」は特定のファイルを上書きするなどして、破壊する機能も持っていたことです。それによってデータを失う被害も多く報告されました。
3-3 後発のワームに多大な影響を与えた?
「LOVELETTER」は、後発のワームに多大な影響を与えたとされています。
悪意あるマルウェア開発者にとってはお手本となったという意味で、「LOVELETTER」はサイバーセキュリティの歴史において需要な位置を占めているという指摘も数多くされています。
電子メールを使う
「LOVELETTER」の拡散方法は電子メールを利用しており、「壁」をすり抜けやすいということと、複製が用意という点でシンプルかつ効果的でした。後発のサイバー攻撃も電子メールを足がかりにすることが多くなっています。
ソーシャルエンジニアリング的手法を使う
「LOVELETTER」は、「知り合いからのラブレターは開いてしまう」というユーザーの心理を巧みに利用することで感染を拡大しました。こういったソーシャルエンジニアリング技術は、後のフィッシング攻撃やマルウェア等々様々な攻撃でも広く応用されています。
スクリプト言語の利用
VBScriptを利用したことで、簡単に作成やバージョンアップが可能であったことも、多くの後発マルウェアに影響を与えました。スクリプト言語はユーザーの操作を必要とせずに実行できるものが多く、攻撃の成功率を高めるには有効な手段となることを「LOVELETTER」が証明してしまいました。
ファイルの破壊を行う
感染後にファイルを上書き・破壊すると短期間で企業や個人に深刻な被害を与えられるということが「LOVELETTER」で知られてしまいました。こういった機能を取り入れるサイバー攻撃が発生していくことになります。
4. 「メリッサ」「LOVELETTER」の共通点と教訓
4-1 両者の共通点
個々まで見てきたように、「メリッサ」と「LOVELETTER」は、どちらもセキュリティの盲点を突いたコンピュータウイルス、ワームとして知られています。
両者の共通点は以下の通りです。
セキュリティの盲点を突くソーシャルエンジニアリング的手法
どちらも、「書類のお届け」「ラブレター」が信頼できる(アドレス帳に登録している)知り合いから送られてくるという共通点があります。心理的な盲点を突くことで、セキュリティ対策の隙間を突破しています。また、ユーザーがふだん利用しているソフトや機能を用いることで疑念を抱かせない工夫がされていました。これが感染を拡大させた一因です。
「LOVELETTER」は、「LOVE-LETTER-FOR-YOU.txt.vbs」という添付ファイルを添付しており、拡張子非表示のユーザーには「「LOVE-LETTER-FOR-YOU.txt」と見え、「テキストなら安心」と思わせたことも(そうならば「.txt」が表示されているのは変なのですが)、大きかったかもしれません。推測ですが、直前にメリッサが流行しており、「添付されているWordファイルは開かない」という意識が広まっていたため、テキストなら大丈夫と思わせることで突破率を上げていた可能性があります。
電子メールを介していた
「メリッサ」と「LOVELETTER」のもう一つの共通点は、電子メールを利用して拡散したことです。メールは、日常的に使用されるコミュニケーション手段で、多くの人々が日常的に利用しているため、短期間に広範囲に被害を広げるための経路としてとても効果的でした。
それもあり、その後、メールの安全対策に力が入れられるようになり、現在に至っていますが、みなさんが感じられているように、あの手この手でメールを使った攻撃が今も多く行われています。
マクロやスクリプトを利用していた
「メリッサ」はMicrosoft Wordのマクロ機能、「LOVELETTER」はVBScriptというスクリプト言語を利用していました。
いずれも、正しく使えば業務効率を上げてくれる素晴らしいものですが、同時に多くの人が利用可能な環境にあることを意味しており、攻撃者からすると、感染(攻撃)の成功率を上げるために有効なものだったともいえます。
4-2 両者からの「教訓」は?
どちらも世界中に一気に大きな被害をもたらしたため、その後のサイバーセキュリティ対策の進化を促すことに繋がりました。
とくに、セキュリティに取り組むべきだという意識を一般化した意味は大きく、得られる教訓は、現代のサイバーセキュリティ対策においても重要です。教訓として覚えておきたいポイントを解説します。
ユーザー教育がポイント
まず、ユーザー教育が重要だと気付かされることになりました。ユーザーが適切なセキュリティ対策を知らなかったり、用意・実行していなかったりした場合、爆発的に感染は広がります。
電子メールによる攻撃は添付ファイルなどを開かないことでかなり防げます。不審なメールには慎重に対応するといったユーザー教育がポイントになってきます。
ソフトウェア類を最新の状態に保っておく
また、OSやソフトウェア、ウイルス対策ソフトのセキュリティアップデートの重要性です。
「メリッサ」や「LOVELETTER」のような攻撃を防ぐには、OSやメールソフト等々で最新のものを使用することがポイントです。これにより、既知の脆弱性を悪用する攻撃を防ぐことができる可能性が大いに高まります。
バックアップを取っておく
重要なデータのバックアップを定期的に取っておくことは、かなり重要な対策となり得ます。
万が一、ウイルスやワームに感染してしまっても、バックアップを取っておくことで、感染によるデータの損失を最小限に抑えることができますし、最悪の場合、感染した次の一手として「感染したコンピュータを初期化する」選択肢が増えるためです。
まとめ
「メリッサ」と「LOVELETTER」は、インターネットの普及とともに、それまでの人々が知らなかった「新たな脅威」を知らしめた事例です。
同時に、その後の攻撃の「お手本」となってしまった事例として、サイバーセキュリティの歴史にその名を残しています。
教訓を活かして、最新のセキュリティ対策を推進することが、将来的な被害を防ぐために必要だといるでしょう。