LOVE-LETTER-FOR-YOU.txt.vbs

もうすぐバレンタインデーですね。この機会に、カラフルでチャーミングかつ魅惑的で、時にエキゾチックなマルウェアの世界を振り返っておきましょう。今回のブログ記事では、これまでに多くのユーザーを苦しめ、歴史に名を残した脅威をいくつか見ていきたいと思います。そして、他にもまだまだ色々な(もっと意地悪な)脅威があることをわかっていただければと思います。

1971年: Creeperウイルス

1949年、先見の明を持った数学者、John von Neumannが自己複製オートマタという理論を思いつきました。これは現代的なコンピュータが存在する前の話です。彼は思いもしなかったでしょうが、1971年、BBNのBob Thomasがコードを子プログラムに引き継ぐことができる自己複製プログラムを作成しました。これにより、von Neumannの理論が(ある意味)現実となりました。このコンピュータウイルスは、TENEXオペレーティングシステム向けのシンプルな概念実証として作成されました。しかしCreeperは、多くの意味で現代のマルウェアの予兆となる性質を持っていました。特に、Creeperは単純に自己複製するのではなく、1つのシステムから移行する際に自身をアンインストールし、別のシステムへ自身を再インストールするという、システムからシステムへの「ジャンプ」を行うものでした。2015年、FortiGuard Labsでは、感染後にシステムからデータを盗み出し、その痕跡を消す「ゴーストウェア」というマルウェアの登場を予測していました。ゴーストウェアはすでに今年、活発に観測されています。

1988年: Morrisワーム

1988年11月2日、インターネットの世界はまだ学者やエンジニアたちから成る固い絆で結ばれた集団でした。そしてそれは、非常に協調的な世界でした。その精神で、コーネル大学のRobert Morrisが自身の名をつけた「Morris」ワームを世に放ったのです。これが世界初のマルウェアの1つです。おまけに、彼はMITのコンピュータ上でこのプログラムを起動したのです。このマルウェアの目的は、単純にシステムからシステムへ自身を伝搬させることであり、悪意はありませんでした。あいにく、コード内のエラーが特定のシステムをクラッシュさせてしまい、新たに制定されたComputer Fraud and Abuse Act(コンピュータ詐欺乱用防止法)のもと、Morrisは起訴され、初の有罪判決が下されました。このワームが実際、どれほど拡散したのかいついてはまだ議論が行われていますが、当時、インターネットを利用していた人のほとんどがこのことを知っていたため、かなり広まっていたと考えてよいでしょう。

1989年: AIDS (PC Cyborgというトロイの木馬)

1989年6月、モントリオールで第5回国際エイズ会議が開かれました。5日間にわたる会議の初日には、12,000名もの代表者が出席しました。この会議では歴史的な「モントリオール宣言」が発表されました。そして目立たない生物学者だったJoseph Poppが、「AIDS Information - Introductory Diskette(エイズ情報: 入門ディスク)」と書かれたフロッピーディスクを20,000枚配布しました。このフロッピーには、以下の内容を説明する小さなメモが入っていました。

If you install on a microcomputer...

Then under terms of this license you agree to pay PC Cyborg Corporation in full for the cost of leasing these programs...

In the case of your breach of this license agreement, PC Cyborg reserves the right to take legal action necessary to recover any outstanding debts payable to PC Cyborg corporation and to use program mechanisms to ensure termination of your use...

These program mechanisms will adversely affect other program applications...

You are hereby advised of the most serious consequences of your failure to abide by the terms of this license agreement; your conscience may haunt you for the rest of your life...

And your [PC] will stop functioning normally...

You are strictly prohibited from sharing with others...

マイクロコンピュータにインストールした場合...

本ライセンスの条件のもと、これらのプログラムのリース代金をPC Cyborg Corporationに全額を支払うことに同意するものとします。

本ライセンスの合意事項に違反した場合、PC Cyborg Corporationに支払われるべき未払負債の回収に必要な法的措置を取り、使用停止のためのプログラムメカニズムを使用する権利をPC Cyborgは留保します。

これらのプログラムメカニズムは他のプログラムアプリケーションに悪影響を及ぼします。

本ライセンス合意の条件に従わない場合には、非常に深刻な結果を招くことをここに通告します。一生、良心をさいなまれることになるでしょう。

お使いのPCは通常の機能ができなくなります。

他人と共有することは固く禁止します。

フロッピー上のプログラムは間違いなく、システムのCドライブ上のファイルを暗号化することができるものでした。このトロイの木馬はその後、ファイルを解放するにはパナマにあるPC Cyborg Corporationに189ドルの身代金を支払わなければならないとユーザーに求めてきます。その後Poppが特定され、逮捕されて11件の恐喝罪で起訴されました。AIDSは私たちが現在「ランサムウェア」と呼んでいるものの初期の一例です。

1991年: Michelangelo

1992年初め、ちょうどその1年前に発見されたばかりのMichelangeloというコンピュータウイルスが差し迫っているとマスコミが大騒ぎしました。このウイルスは、PCのマスターブートレコードに感染するブートセクターウイルスでした。感染したフロッピーからPC上に自身をロードし、その後、ユーザーがマシンに差し込む書き込み可能なフロッピーをすべて感染させ、そしてミケランジェロの誕生日である3月6日まで何もしません。3月6日になると、ハードディスクの最初の17セクタ(ヘッド0から4)を消去します。空きを作り、システィナ礼拝堂の天井画を書き入れるためかもしれませんね。

2000年: ILOVEYOU

件名が「ILOVEYOU」となっている目立たないメールに、LOVE-LETTER-FOR-YOU.txt というファイルが1つ添付されていました。この添付ファイルは、実際は.vbsファイル、つまりVisual Basicスクリプトファイルです。デフォルト設定で、当時のWindowsのオペレーティングシステムは「.vbs」のファイル拡張子を隠していたため、この添付ファイルは悪意のないテキストファイルのように見えるというわけです。このフィッシング詐欺の被害者たちが何も知らず、うっかりとこのスクリプトを実行してしまうと、マシン上のWindows Address Bookに入力されている人に対し、元のメールのコピーを自動的に送信し、そのたびに数々のファイルを上書きしていきます。期間は短かったですが、ILOVEYOUは世界中を巻き込み、55~87億ドルという損害を出したと言われています。「愛はお金では買えない」ということが証明されましたね。ウイルスの出どころは、フィリピンでプログラミングを行っていた2人組であると追跡(ウイルスの登場から24時間以内に)できたにもかかわらず、当時マルウェアの作成を禁じる法律がフィリピンに存在していなかったことから、この2人は無罪放免となりました。

2001年: Anna Kournikova

「Here you have, ;0)」という件名で、「AnnaKournikova.jpg[.vbs]」というファイルが添付されていました。雷は同じ所に二度落ちないという迷信を否定するかのごとく、このVisual Basicスクリプトファイルは、元のメールのコピーをユーザーのアドレスブックに記載されている人に送信するものでした。Anna Kournikovaウイルスは、「Visual Basic Worm Generator」という広く使われているツールを用いて数分で作られたものでした。オランダのJan de Witは、このツールで自分が何を作ったかをよく把握する前に、ウイルスを世に放ってしまったのです。両親からの助言を受け、Janは2001年2月14日、自首しました。

2003年: Slammer & Blaster

もう1つラブレターウイルスを紹介しなければ、バレンタインデーをテーマとしたブログ記事にはならないですよね。2003年、Microsoft Windows 2000とXPのRPCバグを悪用するBlasterワームが登場しました。このワームは不正な.exeファイルをシステムにロードします。するとシステムが起動するたびにマシンにwindowsupdate.comへDDoS攻撃を仕掛けるよう合図を出すのです。「I just want to say LOVE YOU SAN!」というメッセージが実行ファイル内のコードにありました。その次には以下の内容が書かれていました。

"billy gates why do you make this possible ? Stop making money and fix your software!!"

billy gates、なぜこれを許してしまうのですか? お金儲けはやめて、ソフトウェアを直してください!!

なんて愛情がこもったメッセージでしょう。

同時期に、このマルウェアの亜種である「SQL Slammer」も登場しました。これもMicrosoftのシステム内の同じ脆弱性を悪用するものでした。SQL Slammerの作成者は、上のようなラブレターは残しませんでした。なんと無礼な。

2008年: Conficker

ConfickerはKidoワームとも呼ばれています。これはMicrosoftのシステムにある別のRPC脆弱性を悪用し、バッファオーバーフローを引き起こし、コードを注入するものです。このマルウェアは増殖するボットネットを支えるため、数多くの高度なテクニックを使用していました。アタッカーがConfickerのコード内のバグをつぶしていき、感染したシステムは、定期的更新のためにPhone Homeと呼ばれる命令元への通信を行います。このマルウェアの最終バージョンは、特定のDNSルックアップをブロックし、システムの自動アップデーターを無効化し、アンチマルウェアプログラムのプロセスを停止させる能力も持っていました。控えめに言っても、Confickerは少々しつこかったですね。

2011年: ZeroAccess

ZeroAccessルートキットは2011年にシステムへの感染を開始し、ボットネットでシステムを陥れていきました。ZeroAccessは合計900万台以上のシステムに感染したと言われています。このルートキットは、ソーシャルエンジニアリングやアフィリエイトプログラム、広告ネットワークなどを含む様々な攻撃戦略を用いて広がっていきました。一旦その網に捕まってしまうと、コマンド&コントロールネットワークが何も知らないホストを悪用し、クリック詐欺を実行します。Microsoftが2013年にこのボットネットを撲滅したとされていますが、2015年初め、明らかにコマンド&コントロールと思われるシステムからのアクティビティが観測されています。

2013年: CryptoLocker

CryptoLockerは2013年後半にシステムへの感染を開始しました。この愛すべきトロイの木馬は、人のものを奪ったまま、それを奪われたユーザーが回収のために友人を送りこんでも、それを手放さないという特徴がありました。CrytoLocker はRSA公開鍵暗号を用いてユーザーのシステムにある特定の種類のファイルを暗号化し、特定の期日までにビットコインかプリペイド金券を送るよう要求するメッセージを表示させます。2014年半ば、Gameover ZeuS が終焉を迎えた際にCrytoLockerの猛威も収まりました。このボットネットが、CryptoLockerの配信に使われていた主要手段だったのです。この報復的なトロイの木馬は、被害者たちから300万ドル以上を巻き上げることに成功しました。

2014年: Moonワーム

The Moonと呼ばれるワームはルーターからルーターへジャンプし、消費者の特定のホームルーターのモデル番号を割り出す手段としてHome Network Administration Protocol(HNAP)を使用します。その後、特別に作られた実行可能ファイルを使って、認証を迂回し、デバイスを感染させます。デバイスが感染すると、このマルウェアはさらに多くのデバイスへの拡散を狙ってオープンポートのスキャンを行います。

2015年: Moose

Mooseは特定の脆弱性を悪用するわけではありません。これは残念ながら単純なログイン認証を用いているLinuxベースのルーターに感染します。ルーターに感染すると、Mooseはソーシャルメディア詐欺を実行します。インターネット接続をハイジャックし、様々なアカウントの閲覧、いいね、フォローを行うのです。興味深いことに、感染したルーターに粘り強く居座ることはないため、単純にリブートすれば、マルウェアなしでデバイスを起動させることができます。

2016年:

これまで長年、興味深いウイルス、ワーム、ボットネットを数多く見てきましたが、次は何でしょうか?悪意を持った犯罪者たちは、私たちのシステムへの侵入に関してはかなり手慣れてきました。IoTと呼ばれる「ヘッドレス」の接続機器が普及したことで、近い将来、この飛躍的に拡大している攻撃対象領域を抜け目のないマルウェアが悪用する可能性が高いでしょう。あらゆる場所のあらゆるものが、これまで可能とは思えなかった形で接続されようとしています。

2016年、どのような脅威が登場するのか、その詳細情報については、進化する脅威動向に関する私たちのレポートをご覧ください。

http://ftnt.net/1PMcoiR