BACK
TOP
佐々木俊尚 Toshinao Sasaki
日本が「MSブラスト」に弱かった理由
MSブラスト、つまり「マイクロソフトの破壊者」という物騒な名前を持つ新型のコンピューターウイルスが8月、世界で猛威をふるった。ウインドウズパソコンのセキュリティホール(脆弱性)を突いて侵入。従来のウイルスと異なり、メールを読んだりホームページを閲覧しなくとも、インターネットに接続しているだけで自動的に侵入してくる厄介な存在だ。このウイルスに感染すると、パソコンが再起動を延々と繰り返したり、ホームページの閲覧ができなくなったりする。
情報処理振興事業協会セキュリティセンター(IPA/ISEC)のまとめによると、8月のウイルス届出件数は2014件。通常の月が1400件前後であるのと比べると、はるかに突出していた。またトレンドマイクロ社によると、8月のコンピューターウイルスの届け出件数は5266件で、7月の2749件と比べてほぼ2倍に急増。8月12日にMSブラストが出現した影響と見られ、同ウイルスの届け出は発見から約1週間で1300件に達している。過去最大規模のウイルス感染であることが明らかになりつつある。
過去に何度も繰り返されている世界的なウイルス騒ぎ。だが今回のMSブラストに関しては、実はきわめて重要な問題を内包していたことが判明しつつある。
ひとつは、日本のセキュリティ対策が決して万全ではないことが明るみに出たことだ。今回、MSブラストの亜種のひとつである「MSブラストD」(「ナチ」「ウェルチア」などの別名もある)は、日本での感染が突出していた。他国の1・5〜2倍に達しているという試算もあるほどだ。実際、日本郵政公社をはじめ、大阪府庁や山口県庁、松本市役所、世田谷区役所などの地方自治体、各地のケーブルテレビ会社やプロバイダーなどに広範囲な感染があったことが確認されている。
おまけにこの亜種は、原種の「MSブラスト」よりも厄介な性質を持っていた。感染してもMSブラスタと違ってマシンを不安定にしないため、ユーザーが気づきにくい。MSブラスタがパソコンに侵入後、本格的に感染するために起動するバックドア(裏口)プログラムを起動したままにする。これを放置しておくと、他のハッカーからの侵入を受けやすくなってしまうのだ。
MSブラストDの作成者は現時点では特定されていないが、中国人の関与も取りざたされている。プログラムのコードの中に、中国語や中国の名前などが含まれていたためだ。日本を狙ったとウイルスだという報道もある。コードの中に日本をターゲットにしたという文章が埋め込まれていたというのだ。2000年には、中国人ハッカーが大挙して日本の中央省庁に侵入し、ホームページを南京大虐殺の抗議文に書き換える事件が起きている。中国人ハッカーが日本を狙って作ったという可能性は否定はできないだろう。
ともあれ今回のMSブラスト騒動では、日本のセキュリティは決して高くないことが改めて浮き彫りになったといえる。しかし実は日本国内では今年はじめごろ、「わが国のセキュリティ対策はきわめて高い」という、欧米諸国から見れば失笑さえ買われかねない自画自賛の見方が広まりつつあった。
覚えているだろうか。今年1月、「SQLスラマー」という名前のコンピューターウイルスが世界中で猛威をふるい、特に韓国ではインターネットが完全にダウンして「インターネット大乱」と呼ばれるほどの事態になった。しかし日本ではこのウイルスの被害はほとんど発生せず、情報処理振興事業協会(IPA)に報告のあった感染はわずか1件。
この彼我の差をとらえ、中央省庁やセキュリティ業界からは「韓国はブロードバンドが急激に発達してセキュリティ意識が追いついていない。それに比べ、日本企業のセキュリティは高かった」などという自画自賛の大合唱が起きた。。感染先となったSQLサーバーを発売しているマイクロソフトの阿多親市社長(当時)も、自社製品の記者発表の席で「弊社が企業向けに提供しているセキュリティ対策プログラムが有効に作用し、国内では大きな問題にならなかった」とコメントしている。
だがこうした見方に対しては、当時から疑問視する専門家も少なくなかった。ネットワークの専門家のひとりは「日本で被害が少なかったのは、韓国と物理的につながっている回線が少なかったから。SQLスラマーはいったん米国を経由してから日本に侵入したため、米国のネットワークが一種の防火壁の役割を果たした」と指摘する。運が良かっただけだというのだ。
またSQLスラマーが感染するのは、マイクロソフトが発売している「SQLサーバー」というデータベース管理ソフト。通常は企業などで業務用に使われているものだが、このソフトのモジュール(部品)は他のさまざまな製品にも組み込まれている。韓国で数年前から大流行しているオンラインゲームのソフトにもこのモジュールが組み込まれており、韓国ではここを突破口にして個人のパソコンへと感染を広げたのではないかとみられている。一方、日本ではオンラインゲームの市場は非常に小さい。SQLのモジュールが存在するのは大企業の業務部門だけで、比較的感染の可能性が低かったようだ。アンチウイルス製品を販売するトレンドマイクロのウイルスエキスパート、岡本勝之氏も「韓国で被害が広がったのは、たまたまSQLサーバーのモジュールを使う頻度が高かっただけではないか」と指摘している。
今回は、その“幸運”はなかったということだろう。日本のセキュリティは、諸外国に比べても決して高くはない。
もうひとつの問題は、今回の事態が企業や政府のセキュリティ対策に抜本的な見直しを迫る可能性がでてきていることだ。
MSブラストが悪用したセキュリティホールは、ポーランドの研究者グループによって発見され、米マイクロソフトが7月16日(米国時間)に公表。早急に修正プログラムを適用するよう顧客に呼びかけた。
だがそのわずか9日後の7月25日(同)には、中国のハッカーグループがこのセキュリティホールを突いてコンピューターに侵入できるプログラムをインターネット上で公表。マイクロソフトやセキュリティ会社が対応に追われている中、それからわずか3週間足らず後の8月11日(同)にはMSブラストが出現してしまう。
前出の岡本氏は「通常はセキュリティホールが発見されてから、その脆弱性を悪用したウイルスが出現するまでには半年ぐらいのタイムラグがある。今回はきわめて短い時間でウイルスが出現した」と証言する。たとえば今年1月に出現したSQLスラマーが悪用したセキュリティホールが公表されたのは、昨年7月だった。ちょうど半年の時間があったことになる。
セキュリティ業界では「ポーランドの研究者グループと中国のハッカーグループの間に、何らかの接点があったのではないか」といった推測も乱れ飛んでいるが、今回なぜこれほど素早くウイルスが登場したのかはまだ解き明かされていない。
しかしセキュリティホールの発見と、それを悪用したウイルス出現の間のタイムラグが縮まれば縮まるほど、感染の危険性は等比級数的に高まっていく。セキュリティホールを埋める修正プログラムを多くの企業や個人がパソコンに導入するのには、かなりの時間がかかるからだ。今回のMSブラストでも、7月16日にリリースされた修正プログラムは、まだほとんどの企業が適用していなかったとみられている。それが感染を爆発的に広げる原因のひとつになったのは間違いない。
実際、米国のセキュリティホール評価企業「クァルシス」が今年7月にまとめた調査結果によると、セキュリティホールが発見され、修正プログラムが発表されてから1カ月後では、まだ半数の企業しか対応を行っていない実態があるという。
そして最近は、「ゼロデー」と呼ばれるウイルスの可能性さえささやかれている。ゼロデーというのは、新たな脆弱性の存在がマイクロソフトなどから公表される前に、その脆弱性を突いたコンピューターウイルスが配布されてしまうことだ。悪意のあるウイルス作成者が、何らかの理由で未知の脆弱性を発見してしまったら――という想像は、決してあり得ない話ではない。