BACK
TOP
佐々木俊尚 Toshinao Sasaki
中国生まれのウイルス 日本をねらい撃ちしていた!
この夏、「マイクロソフトの破壊者」と名づけられたコンピュータウイルスが世界を震撼させた。その名はMSBlast。ここ数年、NimdaやCodeRed、そしてブロードバンド大国韓国を「インターネット大乱」へとたたき落としたSQL Slammer――次々に新手のコンピュータウイルスが登場し、そのたびにIT社会は対応に追われ続けた。だが今回のMSBlastは、従前のウイルスとは一線を画し、過去に例を見ない驚くべき特徴をいくつもあわせ持っていた。それはインターネットに、恐怖の新時代の到来を告げる予兆なのかもしれない。
恐怖@“ゼロデー”出現の予兆
第1の特徴。それは、このMSBlastが、いよいよ「ゼロデー」ウイルスの登場を予感させる存在となったことだ。ゼロデーという言葉をご存じだろうか。
ゼロデーというのは、OSやアプリケーションの脆弱性がベンダーから公表され、修正パッチがリリースされる前に、その脆弱性を突いたコンピュータウイルスが出現してしまうことだ。いったん感染を開始すると、その侵入を止める手段は誰も持ち合わせていない。ベンダーが修正パッチを大急ぎで作り上げるまでの間、われわれはなすすべもなく、ゼロデーウイルスがわが物顔で侵入を繰り返すのを見守っていなければならなくなる。これはセキュリティ業界の人間――いや、世界中のコンピュータユーザーにとって、悪夢のような事態といっていい。
今のところ、こうしたゼロデーウイルスはまだ出現していない。これまで、さまざまな脆弱性は研究者などの手によって発見され、マイクロソフトなどのOS、アプリケーションベンダーに報告されてきた。ベンダーは修正プログラムを作ったうえで脆弱性を公表してきたわけだ。ウイルス作成者の側は古い脆弱性情報をもとにエクスプロイト(攻略)コードを作成し、ウイルスを流布する。当然、その間にはタイムラグがある。たとえば今年1月に猛威を振るったSQL Slammerの場合、その脆弱性情報が公開されたのは昨年7月のことだった。約半年の時間差があったわけだ。
ところが驚くべきことに、今回のMSBlastは脆弱性発見からウイルスの登場まで、ごくわずかな時間しかなかった。
問題のWindowsの脆弱性「MS03-026」がマイクロソフトから報告されたのは、7月16日。だがそのわずか1週間後の7月25日には、中国のハッカーグループがこの脆弱性を利用したエクスプロイトコードをインターネット上で公表してしまう。エクスプロイトコードには脆弱性を利用してマシンに侵入するための具体的な手順が記述されており、このコードをもとにウイルスを作成するのは、手練れのプログラマーであればさほど難しいことではない。
セキュリティ企業「ラック」の取締役本部長、西本逸郎氏はMSBlast出現直前の状況を、次のように振り返る。
「われわれはインターネットで流れる情報をずっと監視していて、エクスプロイトコードがどんどん進化し、さまざまなOSのバージョンや言語に対応していく様子を観測していた。8月5日にはMS03-026を悪用したポート135経由の攻撃を初めて観測し、この段階で新たなウイルスの出現は秒読み段階に入っていた」
そして西本氏らが危惧していた通り、8月12日、MSBlastが感染を開始することになる。
脆弱性発覚から、わずか1カ月足らずのウイルス出現――この驚くべき早さに、セキュリティ業界の人々は震撼した。トレンドマイクロの岡本勝之氏も「脆弱性が発見されてから、ウイルスが出現するまでには半年ぐらいのタイムラグがあるというのがこれまでの常識だった。今回はきわめて短期間のうちにウイルスが出現してしまった」と話す。
今回、なぜこのような事態が出現したのはかは、まだ解明はされていない。業界筋によると、「MS03-026を発見したポーランドの研究者グループとエクスプロイトコードを作成した中国人ハッカーグループの間に、何らかの接点があったのではないか」という見方も流れているという。またMS03-026の発見者は単なる研究者グループではなく、限りなくハッカーグループに近い人々だったという情報もあるが、確認されていない。
恐怖A消えないウイルス
MSBlastでは、日本の官公庁や地方自治体、企業などにも大きな被害が出た。数十台から数百台に感染し、一次業務がストップしたのは日本郵政公社や大阪府庁、山口県庁、松本市役所など枚挙にいとまがない。各地のケーブルテレビ会社やISPなどでもかなり広範囲に被害が出ていたという報告もある。また世田谷区役所では、住基ネットに感染する恐れが出てきたことから、急きょネットワークが閉鎖される騒ぎも起きた。
これらの被害の多くは、原種のMSBlastではなく、何者かがMSBlastのコードを改造して流布させた亜種のひとつ、MSBlast.Dだった。別名をNachi(ナチ)という。
通常、「ウイルス亜種」といえば原種のウイルスのファイル名だけを書き換えたり、あるいはコードの中にいたずら書きを加えた程度の幼稚なものが多い。だがこのMSBlast.Dは、原種よりもさらに高度なテクニックを駆使していた。
その動作は、次のようなものだ。
@感染先を探すため、Pingリクエストを大量に発信。
A攻撃対象が決まると、MS03-026を悪用して感染。
B感染先のマシンに原種のMSBlastを発見した場合は、強制終了させる。
CマイクロソフトのサイトからMS03-026の修正パッチを入手し、実行。
まるでワクチンソフトのような動きをしてくれるのである。だからこのMSBlast.Dに感染すると、原種のMSBlastが駆除され、一見、パソコンの動作が正常に戻ったように見える。だがその裏側で、MSBlast.Dは大量のPingコマンドをばらまき続け、ネットワークのトラフィックをどんどん増やしてしまう。しかし一般ユーザーは、自分のパソコンの挙動には気づかない。非常にたちの悪いウイルスなのだ。
実際、MSBlast.Dが8月中旬に出現して以来、インターネット上のICPM(Ping)のトラフィックは増大したままで、落ち着く様子は見せていない。セキュリティ業界の専門家は「通常のウイルスであれば、流行してもすぐに関連のトラフィックは衰え、収束していくのがこれまでの常識だった。1カ月以上も経っているのに、相変わらずトラフィックが衰えていないというのは異常としかいいようがない」と驚く。つまりは、自分のマシンが感染していることに気づいていない人がまだ大量に存在しているということなのだろう。
恐怖B日本を狙ったのか
MSBlast.Dで驚くべきもうひとつの側面は、この亜種が日本をターゲットにしているようにも見えることだ。このウイルスは感染の際に、侵入先のマシンがどの言語のOSを使っているのか判定するルーチンを持っている。英語と簡体字中国語、繁体字中国語、韓国語の各バージョンのWindowsであることがわかると、マイクロソフトのサイトからMS03-026の各言語用修正パッチをダウンロードしてきてインストールするのだ。だが日本語に関しては、判定ルーチンを持っているのにもかかわらず、パッチを当てないで処理を終えてしまう仕組みになっている。
セキュリティ業界には「修正パッチを当てないのは日本語だけではなく、ほとんどのヨーロッパ言語もそうだ。逆に英語と中国語、韓国語に限って修正パッチを当てようとすることに何らかの意味があるのではないか」という分析をする専門家もいる。だがそうであるとするなら、わざわざ日本語の判定ルーチンを持っている理由にはならない。判定しておきながら、何らの対応もしない――というところに、日本語に対する何らかの意図が感じられるともいえる。
MSBlast.Dは最初に中国国内で感染が始まっており、同国内で流布された可能性が高い。またコード内に日本への攻撃を示唆する中国語の文字が残っていたという情報もあるが、専門家は「作成者が書いたものなのか、あるいは感染の途中で中国人の誰かが書き入れたものなのかははっきりしない」と慎重な姿勢を崩していない。
中国人ハッカーについていえば、2000年に日本の中央省庁のWebサーバに大挙して侵入し、Webサイトを改ざんする事件を起こしたことは記憶に新しい。今回も何らかの政治的意図を持ったグループが、MSBlast.Dをまき散らしたという可能性は否定できないだろう。
それにしても、日本社会はこれほどまでにコンピュータウイルスに弱かったのか――そんな感想を持つセキュリティ業界人は少なくないようだ。振り返れば今年初め、SQL Slammerが韓国を混乱の渦に巻き込んだ時、日本には感染が非常に少なかったことをとらえて「日本はセキュリティの意識が高い」「日本企業のセキュリティレベルはきわめて上質だ」などと言い放った人々がいた。特に総務省あたりの官僚に、そうした発言をした人が多かったようだ。彼らは今、どんな感想を持っているのだろうか。