Morris Worm発生から25年

大規模な感染が初めて発生したマルウェア「Morris Worm」の登場から25年。その攻撃の仕組みや当時の状況、作成者を振り返ります。

モリスワーム

11月2日は記念すべき日です。25年前のこの日、テレビニュースで取り上げられるほど拡散した初めてのマルウェアが野に放たれました。この有名な「Morris Worm」は、コーネル大学の学生が作成したもので、当時インターネットに接続されていたコンピューターの10%に感染しました。もっと正確な数字をあげると、60,000万台のうち約6,000台に感染したのです。今では取るに足らない数に思えますが、この「昔の」事件は実際のところ非常に重要なものでした。というのも、DDoSエクスプロイトステルス技術、パスワード総当たり攻撃など、現代のマルウェアで広く使われる技術が組み合わされていたからです。さらに、米国の1986年コンピューター不正行為防止法のもとで初めて判決が下された事件でもあります。

YouTubeのおかげで、1986年当時にこのニュースがテレビでどう伝えられていたかを見ることができます。

では、この事件をセキュリティの観点から見ていくことにしましょう。

当時コーネル大学の学生だったロバート・タッパン・モリス(Robert Tappan Morris)は、「インターネットの規模を測る」ことを決意します。モリスはこの目的のために非常に複雑なプログラムを記述しました。ネットワーク上で自分自身を複製し、第三者によって機能停止されるのを阻止できるというプログラムです。お察しの通り、この機能はコンピューターワームの定義にぴたりと当てはまります。Morris Wormはコンピューターに危害を加えるために開発されたわけではありませんが、プログラミングのミスのせいで1台のコンピューターに何度も感染し、サーバーに過剰な負荷をかけて応答しない状態にしてしまいました。まるでDDos攻撃みたいですね。

このワームはインターネット上で自分自身を拡散するために、現代を生きる「ひ孫」と同じ技術を使用しました。ぜい弱性のエクスプロイトです。Morris Wormの場合、3つの異なるぜい弱性がエクスプロイトされました。Fingerのバグや、UNIXベースのシステムで人気のSendmail実装のバグによって、リモートでのコード実行が可能となっていました。この戦術がうまくいかなかった場合は、主にリモート管理に使われるrsh(リモートシェル)の利用を試します。rshを使うにはログイン情報とパスワードが必要になるため、Morris Wormは総当たり攻撃をしかけました。この攻撃はわずか400語の辞書と、いくつかの明らかなオプション(パスワードとユーザー名が同じ、単語の文字を逆に並べる、など)を使っただけで、驚異的な確率で成功しました。強力なパスワードが不可欠であるということは、今でもよく理解していない人が少なくありませんが、25年前はシステム管理者ですら意識していなかったのです。

コンピューターへの侵入に成功すると、ワームは自身のプロセス名を変更し、一時ファイルを削除して、自分の存在を隠すための他の手段(メモリ内で自分のデータを暗号化する、など)を講じます。起動してから最初に起こすアクションの1つは、このコンピューターがすでに感染しているかどうかをチェックすることでした。他のコピーが見つかった場合は、2つのコピーが「サイコロを振って」、どちらが自己破壊するかを決めます。モリスのミスだったのかもしれませんし、簡単な「ワクチン接種」への対抗手段だった可能性もあるのですが、いずれにせよ、7つのコピーのうち1つは最終的に「サバイバルゲーム」をやめて、他のコピーが存在しようとお構いなしに動作を続けていました。まさにこの決定がDDos攻撃のような効果を生んだのです。この7分の1という確率はあまりにも高く、多くのコンピューターが何十回も感染しました。

当時はワームに対抗する技術が成熟しておらず、その概念すらあまり知られていませんでしたが、米国中のシステム管理者がすばやく行動を起こしました。マサチューセッツ工科大学(MIT)とカリフォルニア大学バークレー校に2つのワーキンググループが立ち上げられ、ワームに利用されたぜい弱性をわずか2日で発見して修正し、ワーム自体を解体しました。Morris Wormの一件はこれであらかた終わりを迎えましたが、感染の駆除にかかった費用は10万ドルから1,000万ドルだったと推定されています。

とても興味深いことに、モリスは自分の正体を隠すことには成功していました。その状況を変えたのが、彼の父親であるロバート・モリス(Robert Morris)です。UNIX OSの共同作成者で、米国家安全保障局(NSA)の国立コンピューターセキュリティセンターの主任研究員だった父は、罪を認めるように息子を説得しました。裁判所はこれを考慮してモリスへの刑を軽くし、執行猶予3年、10,000ドルの罰金、400時間の奉仕活動という判決を下しています。モリスはこの教訓を生かし、コンピューター業界で尊敬を集めるメンバーとなりました。Eコマースプラットフォームの先駆けViawebの作成(その後Yahooに売却されYahoo Storeに改名)、新興企業基金 Y Combinatorの設立、新プログラミング言語の開発への参加、MITの教授就任など、数々の功績をあげています。

ヒント