「あなたを愛しています」すべての人を愛したウイルス

約20年前に発生した悪名高いウイルスILOVEYOU(アイ・ラブ・ユー)ワームを覚えていますか?

2000年5月 ― あなたはおそらく、その日も普段と何も変わらない朝を迎え、電車に揺られて通勤し、パソコンを立ち上げてメールをチェックし始めました。新着メールの中に、「ILOVEYOU」という件名が書かれたメールがあることに気が付きます。開くと「添付されているラブレターを読んでください」と書かれています。知り合いの誰かが愛の告白をしているようです。もしかしたら送り主は、学生時代の友達でしょう。憧れていた年上の上司かもしれません。

こういったメールは、間違いなく多くの人の目を引くでしょう。当時、添付されていたファイル「LOVE-LETTER-FOR-YOU.TXT.VBS」を開いても、すぐには変化に気が付かない人がほとんどでした。 しかし、しばらくしてから、ハードディスクに保存していた重要な文書が、取り返しがつかないほど破損し、受信した”ラブレター”と似たようなものが、大量に自分の名前で送信されていたことを発見。それもなんとアドレス帳のすべての人に対して送られていました。

ILOVEYOUワームが含まれるメッセージの例

ILOVEYOUワームを含むメールは、古いOutlookではこのように表示されました。出典

ミレニアムの始まりに、極めて深刻なワームILOVEYOUが蔓延しました。今回はその歴史を振り返り、ILOVEYOUがどのようにコンピューターシステムセキュリティに対する私たちの考え方を変えたのか、振り返ってみましょう。

流行の最先端を行くテクノロジー、インターネット

2000年 ― 今から振り返ると、かなり昔のことのように思えます。当時のウェブサイトのコピーを集めたアーカイブを見たり、物置からWindows 98のノートパソコンを取り出したりしてどのようなプログラムが使われていたのか、時に振り返ることができますが、今日の標準と比べると原始的なものでした。 ユーザーの大多数は、モデムを使ってインターネットに接続していましたが、これは時間がかかるプロセスでした。しかしこれは、現代のネットワークサービスの原型だったのです。

Netflixのような動画のストリーミングサービスはありませんでしたが、ラジオ配信サービスはありました。様々な種類のオンラインメッセンジャーもありました。ウェブサイトで発注するよりも、店舗に電話をかける方が早いとはいえ、eCommerceも異常な速さで発展していました。

一般的に「e(イー)」という言葉から始まるあらゆるネットワークテクノロジーやサービスは非常に注目され、そこに多くの投資もつぎ込まれました。しかし2001年頃には、それらのベンチャー企業の多くは倒産に追い込まれ、業界全体が落ち込みましたが、そのあと再び転機が訪れました。

当時、インターネットがどれほど普及していたかを示すのは、1998年に、映画 「ユー・ガット・メール」 が世界で公開されたことです。これは、ロマンチックコメディのジャンルの映画でしたが、実は、当時の巨大IT企業America Online (AOL)を宣伝するために制作されたものでした。

1990年代末の時点で、すでにインターネットは庶民が使うものとして定着していました。2000年には、 数億人 (英語ページ)もの人がインターネットを利用していたうえ、電子メールも多くの企業や団体、ならびに一般家庭のユーザーが、コミュニケーションツールとして使っていました。

しかし、2000年5月、世界中のデジタルトランスフォメーションは、ILOVEYOUウイルスの発生で突然中断せざるを得ない状況になりました。多くの企業は、一時的にメールサーバーのシャットダウンを余儀なくされました。数万件ものラブレターの送受信に対応できなかったのです。

先駆者:Concept.BとMelissa

厳密に言うと、ILOVEYOUはネットワークワーム (英語ページ)として分類されるべきものです。ネットワークを介して拡散される悪意のあるプログラムだからです。もう一つの特徴は、最初の感染は単純な VBscript プログラムによって発生した点です。VBscript は、マクロより古いアイデアに基づいています。 本質的にこの単純なプログラムは、特定のアクションを自動化します。例えば文書作成です。

ほとんどの場合、マクロはMicrosoft Excelで複雑な計算をしているときに使用されます。昔からマクロは、Microsoft Wordでも、フォームに入力したデータからの自動レポート作成などのためにサポートされてきていました。

1995年、Wordは、WM/Concept.A ウイルスに、脆弱性を攻撃されました。この マクロウイルス は、Microsoft Word文書を感染させ、文書が開かれたときに以下のメッセージを表示させました。

マクロウイルスConcept.Aに感染した文書を開くと表示されるメッセージ

これはマクロウイルスConcept.A の感染がもたらすものです。出典

実は、感染によってもたらされるのはこれだけで、データが改ざんされる、盗まれるなど悪意のある攻撃はなく、迷惑な画面が現れ続けるだけでした。マイクロソフトの元従業員のスティーブン・シノフスキー氏は、1998年から2006年まで、オフィスソリューションの開発責任者を務めていました。彼は、Concept.Aが、世界規模で直面する危機の前触れだったと 回顧録 (英語ページ)に記しています。この時、すべてのマイクロソフトソリューションに実装された自動化は、ソリューションに害を与えるために使用されるものだと考えられていました。その結果、マクロの実行前に「文書に問題が含まれています。本当に実行しますか?」という警告を表示することになったのです。

マイクロソフトがマクロの実行を制約し始めるとすぐ、マルウェアの作成者はこれらの制約を回避する方法を探し始めました。次の目立った出来事が起きたのは1999年3月でした。シノフスキー氏によりますと、メールの添付ファイルと「○○からの重要なメッセージ」という件名のメッセージが届いていたようです。

Melissaウイルスに感染したメッセージ

Melissaウイルスに感染したメッセージ 出典

それからまた他の送信者から、別のメッセージが届きます。さらにメールが届き、メールは機能しなくなってしまいます。マイクロソフトのメールサーバーさえ、受信を受け付けなくなりました。これを行ったのが Melissa というインターネットワームです。添付のMicrosoft Wordファイルには悪意のあるコードが含まれていて、Outlook のアドレス帳に登録されている最初の50人に、メールを一斉に自動送信するというものでした。

すべては愛のために

ILOVEYOUワームは、Melissaで使われたアイデアを進化させたものです。これはマイクロソフト製品の脆弱性を利用したものではありませんでしたが、代わりに標準的な機能を利用したものです。唯一のバグは、Outlookメールクライアントからスクリプトを起動したときに警告が何も表示されないことでした。

このワームの機能は、すべての受信者に愛のメッセージを送ること だけではありませんでした。 被害者の名前をかたってスパムメールを送信するのに加え、当時人気のあった IRC メッセンジャー を介してワームを拡散することができました。さらに、ワームは、メールやインターネットにアクセスするためのパスワードをマルウェアの作成者に送るトロイの木馬プログラムをダウンロードしました。最後に、このワームはMP3形式の音楽、JPEG形式の画像、あらゆる種類のスクリプトやウェブサイトのコピーなどハードウェア上のファイルを削除したり、隠したり、壊したりしました。

ILOVEYOUウイルスを作成した人物は、マクロウイルスで開発されたものを組み込み、ソーシャルエンジニアリングの究極の策略を考え(「愛しています」と書かれたファイルを無視できる人などいるでしょうか?)、悪意のある機能を加えて、自動的に拡散するマルウェアを作り上げました。

当時のカスペルスキーやメディアによるレポートを読むと、事件の一連流れを知ることができます。事件が発生した5月4日、既に数千ものシステムの感染が 検知されました。 (英語ページ)5月9日には250万ものパソコンの感染が報告され(英語ページ)、全世界で数億ものメールが飛び交っていたのです。

ウイルスの作成者は、見た目がオフィス文書らしき、悪意のあるコードを隠すことすらしませんでした。「LOVE-LETTER-FOR-YOU.TXT.VBS」という名前のファイルが送信されるときには、この長いファイル名の冒頭のみしか表示されないことを巧みに利用しました。ファイル内部のコードは開かれたフォーマットでした。このあと、多くの犯罪者が、同じフォーマットを使って異なるワームを作成しました。ILOVEYOUの代わりに他の言葉が件名に使われるようになりました。なかには、ウイルスを警告するメッセージが使われたこともありました。この NewLove の変異種は5月19日に 検知されました (英語ページ)が、ファイルを選んで削除するようなことはしませんでしたが、ハードドライブ上のすべての情報を完全に消去しました。

結局、ILOVEYOUウイルスの影響をまとめると、インターネットに接続されたパソコンの最大10%が 感染し、 (記事)変異種による破壊的行動も含めた合計損失額は、約100億米ドルに達したと推定されています。 このインシデントは、マスコミに広く報道され、アメリカ上院では聴聞会さえ開かれました。

犯された過ち

2022年、ウイルスの一部始終を知り、「そんなささいなウイルスの発生をすぐに防げなかったのか?」と疑問に思う人もいるでしょう。マイクロソフトがOutlookの大規模なセキュリティの更新を リリース (英語ページ)のは、2000年6月8日でした。これによって、やっとスクリプトの実行に関する制約が本格的に導入されました。すべての添付ファイルは信頼できないものとデフォルト設定され、外部のアプリケーションがOutlookのアドレス帳にアクセスしたり、一度に大量のメールを送信しようとしたりした場合には、事前に確認できるようになりました。

2000年6月の更新後、Outlookは、アドレス帳へアクセスする外部アプリや大量のメールの一斉送信の試みに関する警告をユーザーに発しました

2000年6月の更新後、Outlookは、アドレス帳へアクセスする外部アプリや大量のメールの一斉送信の試みに関する警告をユーザーに発しました。Source

マイクロソフトはそれ以前に、なぜセキュリティの更新を行わなかったのでしょうか。セキュリティと利便性の二択を迫られた際、彼らは後者を選択してしまったからです。また、ユーザーも同じように後者を選択していました。1995年、マイクロソフトが、Microsoft Wordで単純な警告(「この文書にはマクロが含まれています」)を導入した際、お客様から否定的な意見が寄せられました。中にはこの通知のせいで、スクリプトに基づく内部のプロセスが壊れてしまった企業もありました。そのため、ILOVEYOUが発生したあと、すぐにセキュリティパッチを開発していた時にも、「これがユーザーのファイルを壊すことになってしまうのではないか?」という疑問の声が上がり、議論が続いていたのです。しかし、この時には既に、すぐにでもセキュリティを改善させることの重要性が明らかになっていました。

古いウイルス、現代の問題

ILOVEYOUの流行により、現在の情報セキュリティの領域に関連する課題が多く浮上しました。中でも「セキュリティパッチをより迅速に送信できるか?」というのは最も重要な点です。マイクロソフトが、Outlook用のパッチキットをリリースしたのが、流行開始から1か月も後だったというのは、間違いなく問題があったといえます。また、更新を知らせる自動配信の仕組みは、当時は十分に整っていませんでした。そのため、地方におけるメールの感染の終息には、長い時間がかかりました。

当社のCEOユージーン・カスペルスキーが語るように、 企業でウイルス対策を講じているユーザーを保護することは難しいことではありませんでした。 (英語記事)セキュリティソフトウェアには、定期的な更新をオンラインで配信するシステムが導入されていました。その他の種類のプログラム開発者が、迅速にセキュリティパッチを配布する、類似したシステムを実装したのは何年も先のことでした。その少し後、帰納的分析の手法が開発され、未知の悪意のあるスクリプトでさえ自動で検知およびブロックできるようになりました。

ILOVEYOUウイルスの流行から22年。人気のあるプログラムやオペレーティングシステムのセキュリティは大幅に改善されました。しかし、マルウェアの作成者は、成功するサイバー攻撃を仕掛けようと、新たな抜け穴を見つけ続けています。

悪意のあるマクロも消え去ったわけではありません。2022年2月、マイクロソフトは、インターネットで取得したOffice文書でのいかなるスクリプトの実行を禁止することで、マクロを配布する機能の 制約を最終的に約束しました。 (英語記事)2022年7月初旬、この 制限は解除されました。 (英語記事)ユーザー側で何かが壊れるという恐れが現実化したと考えるのが妥当でしょう。後に同7月中に、Microsoftは デフォルトでのマクロのブロックを再開すると決定しました。 (英語記事)この時、制約を回避する必要のある人にはその方法を説明しました。

最近では、数千万または数億万ものパソコンに、マルウェアが広まるという大規模な流行は見られなくなりましたが、私たちがそれを完全に防ぐことはできません。ウイルスの流行において間違いなく変化した点は、サイバー攻撃が収益化されるようになり、企業やユーザーのデータを人質に 身代金を要求 するようになったということです。

最後に、大流行したワームILOVEYOUの作成者の人物像と彼の末路をまとめましょう。彼の名は、オネル・デ・グズマンで、流行が発生した当時は24歳の学生でした。2000年、アメリカのFBI当局は、ワームが含まれる大元のメッセージには、フィリピンにいるユーザー向けのメーリングリストに送信されたものが含まれていることを発見しました。フィリピンは、デ・グズマンが今でも住んでいる国です。2000年、彼はILOVEYOUの作成者と疑われる容疑者のリストに名前が載っていました。しかし、証拠が不十分であったこと、当時のフィリピンの法律には、サイバー犯罪に適用できる罪に関する条項がなかった、という2つの理由から彼は罰せられませんでした。

2020年、デ・グズマンは、ジャーナリストたちに発見されインタビューを受けました。 (英語記事)彼は、ILOVEYOUには当初、Outlookのアドレス帳のメールを、一斉に送信する機能がなかったこと、彼自身貧しくインターネットの料金を支払うことができなかったため、インターネットにアクセスするためのパスワードを盗む目的でワームを作成したことなどを明かしました。デ・グズマンは、決して利益を得ようと企らんではいなかったと見られています。記事が公開された時、彼はマニラにある質素な携帯修理店で働いていました。

ヒント

ホームセキュリティのセキュリティ

最近では様々な企業が、主にカメラなどのスマートなテクノロジーを活用したホームセキュリティサービスを提供しています。しかし、セキュリティシステムは侵入者からの攻撃に対してどの程度セキュアなのでしょうか?