ESET/マルウェア情報局
サイバー攻撃の歴史を振り返る 危険はまだ続く
本記事はキヤノンITソリューションズが提供する「マルウェア情報局」に掲載されたサイバー攻撃の歴史 過去どのような攻撃がおこなわれたのか【連載 第2回(全4回)】を再編集したものです
過去、コンピューターの普及と歩調を合わせてサイバー攻撃は猛威を振るってきた。その脅威は個人の端末を利用不能にさせるようなレベルにとどまらず、いまや生活基盤を脅かすほどである。もはや別世界の特殊な出来事ではなく、暴力や窃盗などと同列に扱うべき、身近な危険因子として、正しい知識・対策が求められている。
サイバー攻撃の全体像を解説した記事でも触れたが、過去に発生した事件を知ることからは多くの教訓を得ることができる。この記事では世界的にサイバー攻撃が認知され始めた1990年前後から2010年までの代表的な事件を紹介していく。2010年代の新しいものについては別記事として「凶悪化、大規模化が進む近年のサイバー攻撃事例」を用意しているので、そちらを参考にしてほしい。
世界初のランサムウェアによる犯罪はインターネット外で発生
サイバー攻撃のうち、コンピューターウイルス・ワームなどのマルウェアは何かしらのネットワークを経由してターゲットのコンピューターに潜入する。そのため、大規模なネットワークであるインターネットの登場を機にサイバー攻撃の数は急増することになった。しかし、インターネットを介さない攻撃も過去におこなわれてきた。代表的なものをひとつ紹介する。
世界初のランサムウェアとして知られる「PCサイボーグ(別名AIDS Trojan)」
PCサイボーグによる被害が発生したのは1989年。この時点ですでにインターネットは登場していたが、このランサムウェアはインターネット以外の手段で配布された。攻撃者はランサムウェアを入れたフロッピーディスクを郵送で2万通、ターゲットに対して送りつけたのだ。
フロッピーディスクのラベルには「AIDS Information Introductory Diskette(エイズを知るための入門ディスク)」と記載されており、送りつけられたターゲットはエイズ学会に関連する人たちだったとされる。サイバー攻撃がまだほとんど知られていない時代、ターゲットの関心事に扮したことで被害は広がった。
この事件から得られる教訓は、不明の送付元から送られたファイル(この場合はフロッピーディスク)は開くべきではないということだろう。今からおよそ30年前の事件ではあるが、対策は普遍的なものであることを教えてくれる。
インターネット黎明期から2000年までに起きたサイバー攻撃
1980年代に入り、学術利用目的でのインターネット利用は進んだが、1990年にティム・バーナーズ=リー(Tim Berners-Lee)の手でウェブブラウザーが開発されたことで、その利用は学術分野外へも広がることとなった。Windows 95にバンドルされたInternet Explorerは操作性も良かったことから、日本国内における一般人のインターネット利用を後押しすることとなった。
しかし、当時は一般電話回線経由でのアナログやISDN回線が主流で、現在とは比較にならないほど貧弱な回線容量(~64kbps)しかなく、送受信されるのもテキストデータ主体であった。この頃、パソコン自体は商用を中心に一定の普及が進んでいたものの、インターネット利用者は日本国内でも1000万人(1997年時点)程度しかなく、先の「PCサイボーグ」やこの後紹介する「ブレイン」、「ミケランジェロ」のように、インターネット以外の方法でコンピューターに侵入するウイルスも数多くみられた。
「ウイルス」という言葉を広く知らしめた「ブレイン」
1986年初頭、パキスタン在住のアルビ(Alvi)兄弟により生み出された「ブレイン」が、ある行為をおこなった人たちのコンピューター内のDOSに侵入し、スクリーンに警告メッセージを表示させた。そのメッセージは自らをウイルスと称し、その状況を解消するための連絡先も載せられていた。
この兄弟は自身が開発・販売したソフトウェアにウイルスを仕込んだのだ。その目的はソフトウェアの不正コピーがどの程度おこなわれているのかを明らかにすることだったとされている。結果的に、兄弟の想定よりもはるかに多くのメッセージが表示され、メディアでも取り上げられたことで目的は完遂された。
この「ウイルス」は一部ファイルの書き換えをおこなったものの、コンピューターに損傷を与えるものではなかった。しかし、この事件をきっかけに「ウイルス」という言葉は世の中に知れ渡ることとなる。
参考:パキスタン発、DOS初のウイルス「ブレイン」を振り返る
世界初のインターネットワーム「モリスワーム」
1988年、産声を上げつつあったインターネットの規模を確かめるべく、ひとつの実験がある学生の手でおこなわれた。その実験は大混乱を招く結果となる。実験の主であったロバート・モリス(Robert Tappan Morris Jr.)氏は、プログラミングスキルが未熟で、偶然にも自己増殖の機能をプログラムに組み込んでしまった。
この自己増殖機能のため、驚異的な拡散スピードでワームは広がり、過度なリソース負荷によって多くのコンピューターが破壊される結果となった。このマルウェアは当時、発展途上にあったTCPとSMTPの脆弱性を白日の下にさらけ出してしまったのだ。
この事件は後の世に二つの功罪をもたらした。一つは事件をきっかけにインターネットセキュリティの重要性が強く認識されるに至ったこと。もう一つはこのマルウェアに影響を受け、マルウェア攻撃が活発化していったことだ。まさに今日に至るサイバー攻撃の歴史において始まりともいえるマルウェアである。
フロッピーディスク経由での感染を狙った「ミケランジェロ」
1991年3月6日、ハードディスク内のデータを破壊する活動をおこなう「ミケランジェロ」の存在が明らかになった。命名理由は1475年3月6日に誕生した芸術家ミケランジェロからとされている。
世界中で500万台に及ぶコンピューターへの感染が危惧されたものの、結果的には事前の周知が功を奏し、被害は最小限にとどまった。しかし、データを損壊することでターゲットには大きな経済的損失を与えるなど、その凶暴性が残した爪あとはマルウェアの恐ろしさを伝えるには十分であった。
参考:マルウェアの歴史を振り返る:1990年代流行の「ミケランジェロ」と「メリッサ」
またこの時代、インターネットを支えるインフラが貧弱であったことから、マルウェアによる攻撃だけでなくDoS攻撃なども発生していた。サーバーのスペックはもちろん、ネットワークもまだまだ多重化・分散化が不十分であり、オーバーフローによるサーバーダウンを狙った攻撃も散発的におこなわれていた。
パソコンでのインターネットの商用、一般利用が進んだ2010年までのサイバー攻撃
2000年代に入り、ADSL回線、光回線が普及してインターネットへの常時接続が一般家庭でも普及していった。インターネット人口はこの頃から爆発的に拡大していくことになる。そうした流れを受け、企業でもインターネット上でのビジネスを本格化させていく。2000年代前半にはECサイトの利用や、個人がホームページだけでなくブログシステムを利用して発信することが当たり前になっていった。
黎明期のように情報の閲覧、Eメールのやり取りといった用途に限られた時代と比べ、インターネットの存在感は増していくことになる。同時に、インターネット上で発生した事件が社会問題化するなど、良くも悪くも社会への影響力も広がっていくこととなった。
企業間のやり取りはこれまでの電話・FAX・郵便主体からEメールへ取って代わり、業務でのパソコン利用は年を追うごとに浸透していった。一般家庭でも企業でも、インターネットとパソコンはもはや手放せないものとして位置づけられていく。
その一方で、利用者の拡大は攻撃者にとってターゲットの増加と同義である。さらに、初期のようにコンピューターに詳しい一部だけが利用していた頃と異なり、リテラシーがあまり高くない層まで利用が広がったことは結果的に攻撃の成功確率を引き上げることになった。利用者が増加するほど、攻撃者にとって好都合な状況は、インターネット利用を促進する側にとっては大きなジレンマとなっていった。
感染力の強さで素早く拡散していった「ニムダ」
2001年7月に発生した「コードレッド」に続き、9月に確認された「ニムダ」。これまでのマルウェアを統合したかのように、電子メール、添付ファイル、感染したウェブサイトへのアクセス、さらにはほかのマルウェアが残したバックドアまでを利用することで、驚異的なスピードでの感染を成し遂げたのだった。
加えて、ブラウザーのセキュリティホールを利用して偽装した感染ファイルを増殖させるなど、手口が巧妙だったことも大きな特徴であった。日本国内でも大手ポータルサイトのトップページが感染したことで、被害が広範囲におよぶなど、当時は「最強・最悪のウイルス」との名で知れ渡ることとなった。
規模なトラフィック障害をもたらした「SQLスラマー」
ウェブサイトの動的な活用が進むにつれ、利用が増加したマイクロソフト社のSQLサーバー。2003年に発生した事件は、そのSQLサーバーの脆弱性を狙ったものだ。このマルウェアは発生後、数分のうちに7万5000台のコンピューターに感染。
インターネットのトラフィックを圧迫することで韓国では2700万人の携帯電話が接続障害、アメリカでは1万台以上のATMが一時利用不可となるなど、大きな被害をもたらした。この事件を機に、ファイアウォールの重要性が認知され、企業・組織では導入が進むことになる。サイバーセキュリティにおける、多層的な防御の必要性を突きつけた事件であった。
参考:瞬時に膨大な量の感染を招いたワーム「SQLスラマー」を振り返る
ウェブサイトを乗っ取り、マルウェアをばらまいた「ガンブラー」
2000年代を通してサイバー攻撃の手法は劇的な進化を遂げたが、ひとつの象徴といえるのが「ガンブラー」である。2009年、時間をかけてガンブラーの脅威は拡散していった。
不正アクセスで取得したFTP権限でログインし、ウェブサイトに攻撃用のJavascriptコードを埋め込み改ざんする。改ざんされたウェブサイトにユーザーがアクセスすると、埋め込まれたコードが自動的に実行されてしまう。そして、ユーザーのパソコン内の脆弱性を有したソフトウェアを起動させることで感染に至らせるのだ。
一度感染してしまうと、コンピューター上に保存されている個人情報が盗み出されたり、ボットネットに組み込まれたりといった被害に遭遇する可能性をはらむことになる。日本国内でも大手企業のウェブサイト経由で感染が拡大し、ソフトウェアの脆弱性を放置する危険性がメディアなどでも報じられた。
インターネット利用者の増加は、ウェブサイトを利用した新しい産業形態を生み出した。そして既存の産業においてもウェブサイトの活用が進むなど、日常生活だけでなくビジネスの世界においてもインターネットは深く浸透していった。
一方でその裏側では、先に取り上げた3つの事件をはじめ、手口も感染経路も複雑になっていったのがこの時期の大きな特徴だろう。また、このほかにも攻撃者がDDoS攻撃を仕掛けるとの脅しを企業に対しておこなうような事件も発生した。DDoS攻撃の踏み台化を狙うマルウェアも登場。日本国内でも2ちゃんねるやニコニコ動画に対してたびたびDDoS攻撃が仕掛けられ、メディアでも大きく取り上げられて話題となった。
インターネットの存在感が大きく増したこの時期、攻撃手法も多様化、規模も拡大傾向にあった。手口もより巧妙化・凶悪化していったことで、サイバー攻撃が企業だけでなく一般人にも広く知られるようになった。しかしそれでも、現在のインターネットの利用状況とはまだ大きくかけ離れた時代で、サイバー攻撃の様相からもまだ序章でしかなかった。
まとめ
過去のインターネットを巡る変遷とサイバー攻撃の関わりを解説してきた。そこから見えてくることとしては、攻撃の影響範囲・規模とターゲットの性質(リテラシーのレベル)、そして攻撃で得られる対価・利益が攻撃の狙いや選択する手段にも大きく関与しているということだ。
今後、スマートフォンだけでなく、すでに普及が進みつつあるスマートスピーカーやIoT機器、そして普及に向けて研究が進む自動運転車など、さまざまな機器がインターネットに接続される未来がすぐそこに迫ってきている。インターネットにつながるコンピューターを介して得られるメリットは計り知れないが、一方で自動運転車ではハッキングによる制御不能の可能性が指摘されるなど、危険な側面も存在する。次の「凶悪化、大規模化が進む近年のサイバー攻撃事例」ではテクノロジーの発展とともに凶悪化が進む近年の事件を紹介していくことにする。