脅威リサーチ

マルウェアの進化の歴史

投稿者 Val Saengphaibul | 2022年4月22日

「コンピュータウイルス」は、子供にでも理解できる、数少ない普遍的な技術用語の一つです。社会経済的な背景や時代はどうであれ、この言葉からは誰もが即座に否定的な意味合いを感じ取ります。多くの場合、コンピュータウイルスはノートパソコン、スマートフォン、アプリ、ゲーム機など、一般社会が依存している技術に対して有害なものを連想させます。これは、コンピュータやテクノロジーが我々の日常生活に深く浸透している証しです。このような連想をする一因は、我々がインフルエンザや風邪などのウイルスの影響にさらされてきたことにあります。生物学的なウイルスと同じくコンピュータウイルスも自己複製し、宿主(ホスト)から宿主へと感染して、迷惑レベルから徹底的な破壊行為まで、さまざまな問題を引き起こします。

最初のコンピュータウイルス発見から50年余りを振り返り、インターネット以前の時代からボットネット、ランサムウェア、ウイルス、ワームなどが存在する現代まで、コンピュータマルウェアの歴史をわかりやすく解説します。

まずは基本的な用語を押さえておきましょう。

  • ウイルスは、リンクをクリックする、添付ファイルを開く、アプリケーションを起動する、ファイルをダウンロードするといった人間による操作がなければ増殖はできません。
  • ワームは人の手を介さなくても自己複製が可能で、システムの奥深くに侵入し、デバイス間を移動します。
  • マルウェアはあらゆる脅威の総称であり、ウイルス、ワーム、ボットネット、ランサムウェアなど、ソフトウェアに関連する悪質なものすべてを指します。

この短いブログ記事で、過去50年間のマルウェアや事件をすべて取り上げることは不可能です。そこで、この50年間で最も有名な事例や記憶に残る出来事の多くをご紹介します。

黎明期

1971年:最初のPoC(概念実証)

インターネットが登場する前、少なくとも我々が現在知っているような形態ではなかった頃には、Advanced Research Projects Agency Network(高等研究計画局ネットワーク)、略してARPANETというネットワークがありました。1967年、遠隔地のコンピュータを接続するためにARPANETの開発が開始されました。1969年に最初のコンピュータが接続され、その1年後にNetwork Control Program(NCP)(現在のTCP/IPスタックの前身)が開発されました。NCPは、コンピュータ間のデータのやり取りを可能にする、初のネットワークトランスポート層でした。

1971年、最初のマイクロプロセッサ、Intel 4004が開発されました。これは初めて商品として製造された汎用CPUです。そのサイズ(12ではなく2インチ)、価格(60ドル)、性能(より大型で高価なプロセッサに匹敵)は、コンピューティングにおける新時代の到来を告げるものでした。

皮肉にも、1971年は「Creeper」と呼ばれる初のPoC(概念実証)ウイルスが発見された年でもありました。Creeperは、世界初のコンピュータウイルスとして各所で認識および言及されていましたが、実際にはワームの振る舞いを示していました。Creeperは、1940年代にドイツの数学者、John von Neumann氏が発表した概念に基づき、BBN(米国の研究開発企業、後にRaytheon社が買収)のエンジニア、Bob Thomas氏によって開発されました。CreeperはARPANETコンピュータを介して拡散し、次のメッセージを表示しました。

"I'm the creeper, catch me if you can!"

その後進となる現代のワームと同様に、Creeperはネットワークプロトコルを介して拡散しました。その目的は悪意や不正によるものではなく、ARPANETを介して「I’m the creeper, catch me if you can」メッセージを他のコンピュータに拡散できるかどうか確かめることでした。

そして、それは可能でした。

1982年:最初のMacウイルス

非技術系の人たちが「Macはウイルスに感染しにくい」と言っているのとは裏腹に、初めて実際の被害が確認されたコンピュータウイルスは、「Elk Cloner」と呼ばれ、Apple IIコンピュータを標的にしていました。このウイルスを作成したのは当時15歳の少年で、彼は友人をからかう目的でこのプログラムを記述したのでした。このブートセクターウイルスは、感染したディスクを起動することで拡散しました。このウイルスはメモリに常駐し、感染させるクリーンなフロッピーディスクを待ち受けます。Elk Clonerは、50回目の起動時に次の詩を表示しました。

Elk Cloner: The program with a personality

It will get on all your disks

It will infiltrate your chips

Yes, it’s Cloner!

It will stick to you like glue

It will modify RAM too

Send in the Cloner!

1986年:最初のPCウイルス

1986年、コンピューティングは依然として初歩的な(処理速度が遅く、インターネットに接続されていない)段階にありました。最初期のインターネットの運用は、政府と大学に委ねられていました。インターネットサービスプロバイダー(ISP)がインターネットへのパブリックアクセスの提供を開始するのは、その3年後の1989年です。

確かに、BBS(電子掲示板)は存在しましたが、BBSオペレーターがホストするダイレクトポイントオブプレゼンス(POP)に電話回線で接続する必要がありました。通常、BBSへの接続は、BBSの域内利用者に限定されていました。市外局番からBBSへの通話は分単位で課金され、料金が高額だったからです。

ただし、1986年は「Brain」という最初のPCウイルスが確認された年でもあります。このウイルスによって、情報セキュリティは現在我々が知っているような分野へと変化していきました。Brainはパキスタンで作成されましたが、欧州や北米をはじめ、瞬く間に世界中に拡散しました。皮肉なことに、このウイルスは海賊行為への対抗策によってマシンからマシンへと複製されました。

Brainウイルスは、Amjad Farooq Alvi氏とBasit Farooq Alvi氏によって開発されました。パキスタン出身のこの兄弟は、自分たちの医療用ソフトウェアの違法コピーを使用している個人に対して警告を発するブートセクターウイルスを作成しました。もちろん、インターネットはまだ存在していなかったため、このウイルスはフロッピーディスクをコピーすることで、人の手を介して拡散しました。ユーザーがソフトウェアを違法にコピーすると、本人が気づかないうちにそのマシンのMBR(マスターブートレコード)が感染し、ディスクが次のマシンに挿入されると拡散します。感染したMBRウイルスが埋め込まれているとは知る由もなかったため、このウイルスは世界的な現象になるまで拡散し続けました。

多くのユーザーにとって幸いだったのは、これが破壊活動を行うウイルスではなかったことです。Brainは、マシンが起動しないように特定のセクターを隠蔽し、メッセージを表示しました。そこには、修正を依頼するためのFarooq Alvi兄弟の連絡先が含まれていました。彼らの主張によると、感染したユーザーから電話をもらい、ソフトウェアを合法的に入手する方法を話し合いたかったということです。

以下がそのメッセージの内容です。

Welcome to the Dungeon (c) 1986 Amjads (pvt) Ltd VIRUS_SHOE RECORD V9.0 Dedicated to the dynamic memories of millions of viruses who are no longer with us today - Thanks GOODNESS!!! BEWARE OF THE er..VIRUS : this program is catching program follows after these messages....$#@%$@!!

Welcome to the Dungeon © 1986 Basit & Amjads (pvt). BRAIN COMPUTER SERVICES 730 NIZAM

LBOCK ALLAMA IQBAL TOWN LAHORE-PAKISTAN PHONE: 430791,443248,280530. Beware of this VIRUS.... Contact us for vaccination...

兄弟の独創的な計画は成功し、彼らのもとに世界中から電話が殺到しました。

1988年:Morrisワーム

ウイルスとワームの違いは、ワームが感染拡大に人間の操作を必要としない点です。世界初のワームは30年余り前に誕生し、その作成者の名前をとってMorrisワームと呼ばれました。このワームは悪意に基づいたものではなく、自己複製が可能かどうかを確認するためのPoC(概念実証)として作成されました。

Morrisワームにはいくつもの「世界初」が含まれていました。このワームはさまざまなサービスやプログラムの脆弱性を悪用し、感染の有無を確認します。どちらも現代のマルウェアと同じ振る舞いです。システム管理者がワームを隔離し感染を無視することを懸念したMoriris氏は、永続性のあるワームをプログラムしました。しかし、自己複製のプロセスを停止することができなかったため、過剰な負荷がかかったデバイスは動作不能に陥り、ワームがマシンからマシンへと拡散してネットワークでDoS(サービス拒否)が発生しました。

Morris氏は、コンピュータ詐欺と濫用に関する法律による初の有罪判決を受けました。ただしMorris氏は後年、企業家として成功し、マサチューセッツ工科大学(MIT)からは終身在職権を授与されています。

1989年:世界初のランサムウェア

1989年に登場したAIDS Trojanは、世界で初めて確認されたランサムウェアです。偶然にも、米国のThe WorldというISPによって、商用のインターネットアクセスが初めて利用可能になったのも1989年でした。ただし、ランサムウェアが感染や攻撃にインターネット接続を利用するのは2005年になってからです。

1989年、エイズウイルスは現在のコロナウイルス関連のニュースのように、頻繁に話題に上る世界的な関心事でした。20,000枚の感染したフロッピーディスクを郵送(Eメールではなく物理的な郵便)することで、AIDS Trojanが世界中のエイズ研究者に配布されました。このディスクを起動すると、エイズに関する質問が表示されます。しかし、90回目の再起動時にファイル名が暗号化文字列に変更され、ユーザーからは見えなくなってしまいます。その後、年間リース料として189ドル、または永続ライセンス料として385ドルをパナマの私書箱に送金するよう要求するメッセージが表示されます。受け付けられるのは銀行手形、小切手、または郵便為替だけでした。

AIDS Trojanを開発したのは故Joseph Popp博士で、エイズ研究の基金に役立てる目的でこのランサムウェアを作ったと主張しました。ただし、世界保健機関への就職がかなわなかったことに腹を立てていたという報道もあります。興味深いことに、Popp博士は米国の研究者にはフロッピーディスクを送付していませんでした。

フォレンジック分析の結果、このマルウェアの暗号化キーは「Dr. Joseph Lewis Andrew Popp Jr.」であることが判明しました。Popp博士は逮捕され英国で起訴されましたが、刑事訴訟中に精神的能力に欠けると判断され、米国に送還されました。

図1:AIDSランサムウェアのメッセージ

1992年:ミケランジェロ

影響の大きさという点で、AIDS Trojanの次に有名なウイルスがミケランジェロです。ミケランジェロは、DOSパーティションを標的にしたブートセクターウイルスです。アセンブリ言語で書かれており、前身となるウイルスと同様に、フロッピーディスクを介して拡散します。マスターブートレコードや挿入したフロッピーディスクに感染し、コピーや読み込みプロセスの実行時に拡散します。

このウイルスには時限爆弾がプログラミングされており、ミケランジェロの誕生日である3月6日に起動することからその名前が付けられました。ミケランジェロは、その発覚後にメディアがこぞって報道し、3月6日はコンピュータの電源を切っておくか、マシンの日付を1日前に変更して影響を回避するようユーザーに警告したため、一気に有名になりました。ウイルスが主要メディアの注目をこれほど集めたのは、紙媒体でもテレビでもこれが初めてでした。その結果、ウイルス対策ソフトウェアの売り上げが世界的に急増しました。

1994年~1995年:warezシーンと最初のフィッシング攻撃

インターネットの利用は、America Online(AOL)、CompuServe、Prodigyなどのサービスの開始を通じて米国で普及し始めましたが、ネット詐欺やフィッシングも同様に増加していきました。AOLのチャットルームを利用してきた多くのユーザーにとって、90年代半ばのprogz(program(プログラム)の俗語)やwarez(software(ソフトウェア)の俗語)シーンは画期的でした。ダイヤル回線のインターネットアクセスは非常に高額で、分単位で課金されるため、多数の脅威アクターがアカウント認証情報の窃盗を目論んでいました。

違法なwarezチャットルームで新しいプログラムが取り引きされるようになり、その中にはユーザーを強制的にオフラインにするpunterz、ユーザーアカウントを盗むためのフィッシングprogz、ランダムなクレジットカードの作成に使用するツールなどが含まれていました。最も有名なプログラムはAOHell(AOLをもじったもの)で、ランダムなアカウントを作成するプログラムが組み込まれており、無作為に作成されたクレジットカード口座を使用して、1ヵ月間無料で口座を開くことができました。

そこには初めてのフィッシングの痕跡も見られました。偽の自動AOLインスタントメッセージ (IM) ボットが、無差別なIMを標的に送信し、請求書発行などの処理で問題が発生したため、自身のアカウント認証情報を確認するよう要請します。被害者がボットとの会話を続けるには、自分のユーザー名やパスワードを入力して「身元確認」を行う必要があります。その後、これらの情報はAOHellプログラムのユーザーによって収集され、悪用されたり無料のアカウントアクセスやスパム用に売却されたりしました。

図2:AOHell(Wikipedia)

AOL warezルームにはそれ以外にも、特定の機能を謳ってはいるが実際は資格情報を収集するためのプログラムで、「n00bs」すなわち初心者や未経験者を標的にしたものもありました。

2000年代の始まり

新世紀が始まる頃には、より多くの人がグローバルにつながるようになっていました。それと同時に、インターネットの爆発的な普及によって標的となるユーザーが増加したため、攻撃の規模も急拡大しました。

1999年は、新興のハイテク企業が急成長した(インターネットバブル)ほか、「2000年問題」への不安で混乱した年でもありました。当時、ウイルスではなく2000年問題によって大きなパニックが起こりました。旧式のコンピュータが1999年12月31日に動作を停止することが危惧されていたからです。その原因は、コンピュータのマザーボードを制御しているBIOSの設計不備にありました。2000年1月1日にコンピュータを再起動すると、オペレーティングシステムはその日が1900年1月1日であると認識し、ガソリンポンプからエレベーター、証券取引所、発電所に至るまで、あらゆる機能が停止する恐れがありました。結局、この問題は想像よりも軽微であったことが判明し、大半の組織も個人も無傷で難を逃れることができました。ただし、2000年問題への懸念は数ヵ月間、世界中で大きく報道され続けました。

1999年 / 2000年:最初のボットネットの登場

2000年までに、デジタル加入者線(DSL)接続を介してT1回線にアクセスするサービスを使用できる資金力を持つ組織だけではなく、他のユーザーにもブロードバンドアクセスが浸透してきました。ホームユーザーも企業も、常時オンライン状態を維持できるようになりました。サイバー犯罪者はボットネットとワームをいち早く活用することで、広く普及したインターネット接続をその後数年間にわたって悪用しました。

ボットネットが初めて出現したとき、この言葉は映画「ターミネーター」シリーズに登場するスカイネットを想起させました。これは架空の企業が開発した悪役のAIコンピュータです。しかし当時はまだ、AIはサイエンスフィクションの域を出ていませんでした(もちろん、22年後の現在も、AIはまだ初期段階にあります)。だからといって、ボットネットが問題でなかったわけではありません。端的に言うと、ボットネットとは感染したコンピュータの集合体であり、オペレーターの命令および制御下にあります。この頃のボットネットは単純でした。このマルウェアはマシン間で感染および拡散します。大半のボットネットマルウェアは、命令を受け取るために、インターネットリレーチャット(IRC、以前のAOLチャットルームを思い出してください)上で事前定義済みのコマンド&コントロール(C2)サーバーに接続されていました。

初めて確認されたボットネットは、2000年に出現したEarthLinkスパムボットネットです。その目的は、大量のスパムを送り付けるという単純なものでした。EarthLinkボットネットは当時のEメールスパム全体の25%を占め、メッセージの総数は約12億5,000件に上りました。こうした傍若無人な行為により、オペレーターのKhan C. Smith氏は2,500万ドルという前代未聞の罰金を課されることになりました。

ただし、事実上最初のボットネットは、1999年に使用されたGTbotです。マルウェアという点では、GTbotはきわめて初歩的でした。基本的には自分自身を他のマシンに拡散させ、IRCからコマンドを受け取ります。それらのコマンドはGTbotコントローラによって送信されます。このコントローラは、感染したデバイス(ゾンビ)のネットワークを使って分散型サービス拒否(DDoS)攻撃を仕掛けます。

ワームの台頭

現在ではそれほど多くないとはいえ、ワームは今もって脅威アクターが保有する武器の一つです。前述したとおり、ワームはウイルスとは違い、拡散をする為に人間の操作を必要としません。ワームは自分自身で増殖するため、短時間で広範囲に拡散します。その目的はどうあれ、当時のワームは多くの場合、サービス拒否を発生させたため(原因の大半は脆弱性)、大抵はワームへの感染をすぐに認識することができました。ワームはオペレーティングシステムのサイクルを次々と消費していき、最終的には感染したマシンを停止に追い込みます。このようなDoS攻撃がワームの拡散に伴って組織内で伝播し、そうした意図があったかどうかはともかく、組織全体を混乱に陥れます。

2000年:I LOVE YOU、2000年問題

I LOVE YOUワームは、大々的なメディアの報道でミレニアムの幕を開けました。なぜならこのワームは、記録的な速さで世界中に拡散したからです。I LOVE YOUワームを作成したのはフィリピンの大学生、Onel De Guzman氏でした。

このワームは複数のメカニズムを使って拡散しました。まず、「LOVE-LETTER-FOR-YOU.vbs.txt」という悪意のある添付ファイルがEメールでユーザーに送信されます。被害者がファイルを開くと、ワームは被害者のMicrosoft Outlookのアドレス帳を探索し、自分自身を添付ファイルとして複製し、被害者になりすましてEメールを送信します。こうした斬新な方法によって、数日間で数百万台のコンピュータが感染しました。大勢の人が友人、家族、同僚など、信頼できる知り合いから届いたEメールを信用したからです。標的のアドレス帳を探索し、そのEメールを偽装するというこの手法は、今でも脅威アクターのスパイ技術(EMOTET)として利用されています。

2003年:Blaster(MSBlast、lovesan)

2003年8月までには、多くの個人および組織がインターネットへの接続にブロードバンドを使用していました。それが、かつてないワームとワームに似た攻撃を生み出すきっかけとなりました。

2003年8月11日、Blaster(MSBlast、lovesanとも呼ばれる)が発生しました。恐れていた「ブルースクリーン・オブ・デス」(BSOD)が突然表示され、マシンが再起動されたホームユーザーや大企業の従業員は、大きな衝撃を受けました。ただし、それがBlasterワームによる妨害行為であることは知りませんでした。

Blasterは、Microsoft Windows XPおよび2003オペレーティングシステムのリモートプロシージャコール(RPC)にある脆弱性を利用して、世界中に拡散しました。このワームの目的は、windowsupdate.comにSYNフラッド攻撃を仕掛け、マシンがアップデートを利用できないようにすることでした。Microsoftにとって幸いなことに、作成者はBlasterをダイレクトするドメインを間違えるというミスを犯しました。windowsupdate.comドメインの重要性は、それほど高くはありませんでした。ユーザーがアップデートの入手に使用するのは、windowsupdate.microsoft.comだったからです。

ただし、ワーム内のバグが原因で、バッファオーバーフローによるサービス拒否(BSOD)も発生しました。再三の再起動は、マシンの起動と停止を何度も繰り返すだけであり、この攻撃の妨げにはなりませんでした。インターネット接続が普及した結果として、これが初めてのグローバルなサービス拒否攻撃となりました。

作成者の意図は、このマルウェアのバイナリにある脅迫的なメッセージに現れていました。

I just want to say LOVE YOU SAN!!

billy gates why do you make this possible ? Stop making money

and fix your software!!

このワームが生まれたきっかけは、Microsoft Patch Tuesdayパッチ(通称Exploit Wednesday)のリバースエンジニアリングでした。8月11日よりも前に(MS03-026)パッチを適用した組織は、Blasterの影響を受けませんでした。この事例は、アップデートのリリース後はできる限り早急にシステムにパッチを適用する重要性を明確に示しています。残念ながら18年後の現在に至るまで、多くの組織がこの助言を軽視しています。

番外編

Code Red(2001年)

  • このハイブリッドワームは、脆弱なMicrosoft IISWebサーバーを標的にしました。脆弱なサーバーを見つけると、次のメッセージを表示しました。

HELLO! Welcome to http://www.worm.com! Hacked By Chinese!

  • Code Redは特定のサイトへのDDoS攻撃も実行しました。

MyDoom(2004年)

  • MyDoomはI LOVE YOUを上回る速さで拡散する、最速のEメールワームです。その記録はいまだ破られていません。

サイバー犯罪の幕開け

2005年:ワーム、バックドア、ボットネットを組み合わせたMytob / Zotob

Mytobが登場するまで、マルウェア界の大部分は、いたずらや単なる好奇心からマルウェアを作成するマニアが占めていました。しかし、Mytob / Zotobの亜種によって状況は一変しました。

基本的に、Mytobはワーム、バックドア、ボットネットの機能を兼ね備えています。これはMyDoomの亜種で、Zotobワームを開発したプログラマによって作成されました。Mytobは2通りの方法で被害者を感染させます。悪意ある添付ファイルが含まれたEメールを送信するか、LSASS(MS04-011)プロトコルまたはRCP / DCOM(MS04-012)の脆弱性を悪用し、リモートコードを実行します。また、被害者のアドレス帳を利用して自らを拡散し、ネットワークスキャンによって侵害可能な他のマシンを探します。

Mytobは、ウイルス対策ソフトウェアを明確に意識した妨害や攻撃を行う初めてのウイルスで、被害者のマシンから各種のアップデートサイトへの接続を遮断します。その方法は、既知のベンダーURIをすべてローカルホストのIPである127.0.0.1にリダイレクトするというものでした。これにより、公開Webサイトへのすべてのクエリは被害者のマシンに解決され、どこにも送信されなくなります。

Mytobは、その時期としては種類が非常に豊富で、常にトップ10チャートに入っていました。Mytobには異なる機能を持つ多数の亜種があり、ウイルス対策企業がマルウェア名に付け加えるアルファベットをすべて使い切ることもよくありました。

Zotobの亜種にはMytobソースの名残があり、Windows 2000向けのMicrosoftプラグアンドプレイにある、バッファオーバーフローの脆弱性(MS05-039)を利用していました。Zobtobは、この亜種を使ってMS05-039の脆弱性を持つマシンを探し、さらに感染を拡大します。Mytob / Zotobの亜種は破壊力がきわめて高く、ニューヨークタイムズなど100組織が業務停止に追い込まれました。あまりの破壊力の高さに、CNNのニュースアンカー、Wolf Blitzer氏が、Lou Dobbsはレギュラー番組を放送できないと発表したほどでした。

スパイウェアと検索結果ハイジャックの時代

2005年:CoolWebSearchとBayRob

「CWS」の呼び名で知られるCoolWebSearchは、Googleの検索結果をハイジャックした初めてのサイバー犯罪で、ユーザーの検索結果を脅威アクターが用意した検索結果に置き換えます。そのために、Googleでの検索操作を悪用しました。CWSの多くは、ドライブバイダウンロードやアドウェアプログラムを使ってばらまかれます。その範囲が余りに広く削除も難しいため、ボランティアがプログラムを開発し、Webフォーラムを開催して、CWSの除去を無料で支援しました。CWS Shredderは、マシンを修復するためCoolWebSearchの被害者によって広く利用されたプログラムのうちの一つです。

数年後の2007年、これとよく似た攻撃が発生しました。それは、eBayの検索結果をハイジャックする手法に手を加えたものでした。オハイオ州の女性が数千ドルで購入た車が、納車されなかったことからこの攻撃が発覚しました。当局は後日、この車が販売リストにそもそも掲載されていなかったこと、女性のコンピュータがマルウェアに感染し、BayRobマルウェアを介して偽のリストが挿入されたことを突き止めました。FBIとSymantecはチャンスを伺いながら、サイバー犯罪者がミスを犯すのを数年間辛抱強く待ち続け、2016年、ついに犯人逮捕に至りました。

図3:CWSに関する助言を求めるユーザーのスクリーンショット(forums.bleepingcomputer.com)

スパイウェアからスパイ同士の争いへ、国家的サイバー兵器の発覚

2010年:Stuxnet

2010年代初頭には、国家によるマルウェアの使用が初めて確認されました。これは産業用制御システム(ICS)デバイス、具体的にはSupervisory Control And Data Acquisition(SCADA:スキャダ)を標的にしたものでした。Stuxnetは、重要なインフラストラクチャを標的にした、国家の関与が明確な初のマルウェアとなりました。このケースでは、産業用遠心分離機(厳密には核施設)を異常回転させてメルトダウンを引き起こしました。Stuxnetはイラン国内の組織を狙い撃ちにしていましたが、ほどなく世界中の他のSCADAシステムにも拡散しました。Stuxnetマルウェアを分析した結果、Stuxnetはイランに限らず、同様のICSデバイスが稼働しているすべての組織に応じてカスタマイズできることが明らかになりました。2012年のニューヨークタイムズの記事は、米国とイスラエルがStuxnetを開発したと伝えています。

2011年:Regin

Reginは、モジュール性に優れたリモートアクセストロイの木馬(RAT)です。標的とする環境に合わせて、非常に柔軟に動作することができます。破壊活動を行わない点も、Reginの攻撃が成功した一因です。盗み取られたファイルは多くの場合、暗号化されたコンテナに保存されました。ただし複数のファイルに保存するのではなく、あらゆるデータが1つのファイルに保存されます。そうすることで、システム管理者やAVソフトウェアに疑念を生じさせないようにしました。Der Spiegel誌によると、Reginは米国のNSAによって開発され、EUとその市民に対するスパイ活動を目的にしていたということです。この情報は、Edward Snowden氏がリークした悪評高い機密情報から明らかになったものです。

2012年:Flame

Flameは発見当時、これまでで最も高度なマルウェアと言われました。Flameはすべてを備えていました。つまり、LANネットワークを介して拡散でき、スクリーンショットや音声を記録およびキャプチャし、Skypeの会話を盗聴して記録することができます。さらには、Bluetoothワークステーションをリスニングビーコンに変えることもできます。その後ビーコンは、ファイルを抽出して他のビーコンに移動し、最終的には特定のC2サーバーにそれらのファイルを送信します。Flameは主に中東の組織を標的にしていました。

近代のランサムウェアの登場

2011年 / 2012年:Reveton

Revetonは、インターネット接続時代における初の「ランサムウェア」ではありません。その栄誉を受け取るのはGPCODe(2005年)などです。しかし、Revetonは現代のランサムウェアの原型となるものであり、今日まで存在しているルック&フィール(例えば、現状の詳細説明、犯人への連絡方法、身代金の支払い方法、ファイルの復号方法などが表示される、おなじみのロック画面)の構築に一役買っています。

Revetonは、プロのサイバー犯罪組織が運営していることを示すあらゆる特徴を備えていたため、報道でも大きく取り上げられました。見かけがプロらしいだけでなく、もう一つの「世界初」であるテンプレートを使用していました。被害者には、ユーザーの居住地域に基づいて、現地の警察組織と支払い方法の説明を示すロック画面が表示されました。Revetonで使用されたテンプレートが多すぎるため、研究者が公開記事を引用する際には、秋 / 冬 / 春 / 夏テンプレートをよく使用していました。

図4:Revetonの身代金要求画面とMoneyPakの説明

図5:オバマ前大統領の画像を用いた改造版

2013年:CryptoLocker - 暗号通貨を使った新しい支払い方法

CryptoLockerは、ビットコインでの支払いを要求した初めてのランサムウェアです。暗号化解除の代価は2ビットコインでした。これは2013年当時の13~1,100ドルに相当し(期間により異なります)、脅威アクターが得た金額はささやかなものでした。

図6:CryptoLockerによるビットコインの身代金要求

注意すべき点は、この頃のビットコインはまだ黎明期にあり、技術に疎い被害者に支払いをさせることはもとより、暗号通貨の使い方を理解させることすら難しかったということです。

2013年:DarkSeoulとLazarus

ランサムウェアに加えて、2013年には国家主導の悪意ある攻撃も確認されるようになりました。DarkSeoulと呼ばれる攻撃は2013年3月20日、韓国の放送局SBSや金融機関に攻撃を仕掛けました。この攻撃に使用されたJokraというマルウェアは、デバイスのマスターブートレコード(MBR)を上書きしました。インターネットサービスプロバイダー、電気通信事業者、およびATMの利用者の多くも、ネットワークがオフラインになったため影響を受けました。この攻撃はLazarus(北朝鮮)によるものでした。Lazarusは2014年、北朝鮮の金正恩総書記を皮肉った映画「ザ・インタビュー」への報復として、Sony Corporationの機密情報を流出させたこともあります。Lazarusグループは、2016年のバングラデシュ銀行への攻撃にも関与していました。同グループは9億5,100万ドルを盗み取ろうとしましたが、銀行取引チェーン内でのさまざまなフラグが原因で、8,100万ドルのみ手に入れることができました。

図7:DarkSeoulの攻撃画面(画像著作権GIAC)

2015年:ブラウザロッカーと偽の技術サポート詐欺(BSOD)

技術的にはマルウェアではありませんが、初めての技術サポート詐欺とさまざまなブラウザロッカーの亜種が2015年に出現しました。これらの有害な攻撃は、基本的にはランサムウェアを真似たもので、被害者をパニックに陥らせ、海外のテクニカルサポートを装った脅威アクターにつながるサポート番号に電話をかけさせるか、システムを「きれいにする」代償として単に暗号通貨を支払わせます。この手法では、侵害された正規のWebサイトに悪意あるJavaScriptを埋め込みます。このJavaScriptはブラウザを動作不能にし、警告や要求(ロック解除の代金、偽の修正ソフトウェアの販売、テクニカルサービスなど)をフルスクリーンモードで繰り返し表示します。この策略の変化形がブルースクリーン・オブ・デス(BSOD)表示です。Microsoftテクニカルサポートを名乗るフリーダイヤルの電話番号など、被害者に対処を促しているように見えますが、その電話番号はコールセンターにいる脅威アクターにつながります。脅威アクターは、「修理」のために被害者のマシンへのリモートアクセスを許可するよう求めます。こうして被害者のマシンを乗っ取り、さらに悪質な行為を実行する一方、存在しないサービスに対して法外な料金を請求します。

2016年:最初のIoTボットネットの登場

Miraiの出現は多くの人を驚かせました。これはIoTデバイスを標的にした初めてのボットネットでした。主な標的はネットワークルーターですが、その他のIoTデバイスも含まれていました。MiraiはDDoSで、大きな注目を集めた、Brian Krebs氏のWebサイト、krebsonsecurity.comへの攻撃に関与したほか、広範囲にわたるインターネットのセグメントをダウンさせ、世界中のアクセスやサービスを混乱に陥れました。

従来のネットワークデバイスやエンドユーザーデバイスと異なり、大半のIoTデバイスは維持管理されていません。つまり、コンピュータやスマートフォンのように、自動的にアップデートを受け取ることはありません。それどころか、IoTデバイスはしばしば見過ごされ、めったにアップデートされません。その理由は主として、アップデートするにはデバイスをフラッシュする必要がある(つまりデバイスがオフライン化され、それによってソフトウェアとファームウェアが完全に上書きされる)からです。これは不便であり、方法を誤るとフラッシュしたデバイスが破損する(すなわち永久に動作不能になる)ため、大きな損害が生じる可能性さえあります。さらに悪いことに、IoTデバイスを直接インターネットに接続しているユーザーの多くは、デフォルトのユーザー名やパスワードを変更していません。Miraiはこうした脆弱性を突いて、難なく増殖することができました。Miraiはあまりにも広範囲に一気に拡散したため、著名な暗号学者のBruce Schneier氏でさえ、それが国家によって開発された可能性があると考えました。

Miraiが注目を集めた理由は、その目新しさだけではありません。Miraiがきわめて短期間でグローバルなボットネットを構築できたからです。これにより、世界中の感染したシステムから標的サイトにインターネットトラフィックをリダイレクトすることができました。あらゆる場所からトラフィックが流れ込んでくるため、攻撃への防御は格段に難しくなりました。さらに、先日のFortiGuard Labsブログで報告したように、Miraiの亜種はいまだ健在です。その一因は、その後オンラインでコードが公開され、他の犯罪者がそれを利用できるようになったことにあります。

2017年:ShadowBrokers(NSA)、WannaCry、Petya / NotPetya、非公開の脆弱性

ShadowBrokersによるアメリカ国家安全保障局(NSA)の情報リークは、前代未聞かつ衝撃的でした。米国政府の最高機関が開発していた秘密のマルウェアが公表されただけでなく、公開されたツールやエクスプロイトを脅威アクターが効果的に流用したからです。「Fuzzbunch」というコードネームが付けられたこれらのツールは、NSAが開発したエクスプロイトフレームワークでした。このフレームワークには、DoublePulsarと呼ばれるマルウェアが含まれていました。これは、悪名をはせた「EternalBlue」エクスプロイトが組み込まれたバックドア攻撃です。EternalBlueはNSAが保有していたゼロデイエクスプロイトで、MicrosoftのSMB(サーバーメッセージブロック)プロトコル(CVE-2017-0444)を標的にしていました。

その後、悪名高いWannaCryやPetya / NotPetyaランサムウェアの拡散に使用され、甚大な被害をもたらしました。これらのランサムウェアの亜種は破壊力が非常に強く、世界各地の製造設備が停止に追い込まれました。当初、このリークにはロシアが関与していると言われていましたが、ShadowBrokersのハッキング / リークと何らかの組織との関係は今日に至るまでわかっていません。

2017年:暗号通貨のマイニング

暗号通貨に関連する脅威は、当初はランサムウェアまたは暗号通貨ウォレットの窃盗に起因していましたが、2018年にこれまでなかった手法が出現しました。XMRigは暗号通貨Moneroをマイニングするために開発されたマイニングアプリケーションで、悪意あるプログラムではありません。マシン上で未使用のCPUサイクルを活用することで機能し、暗号通貨のマイニングで使用される多様な数学的問題を解決します。しかし、サイバー犯罪者は感染したマシンやデバイスにひそかにXMRigをインストールし、暗号通貨で利益を得るためにデータの収集 / 集約を始めました。

多くの攻撃者がよく利用していた方法は、Apache Struts、Oracle Weblogic Server、およびJenkinsサーバーで既知の脆弱性を悪用するエクスプロイトでした。その結果、これらの技術を使用している組織と、その技術が稼働している強力なCPU(攻撃者にとってはこれが最も重要です)を持つデバイスが攻撃を受けました。リモートからエクスプロイトが可能であったことも、これらの脆弱性が狙われる原因になりました。さらに悪いことに、インターネットに接続しているマシンの多くは、不注意や怠慢によってパッチが適用されにくかったため、脅威アクターはそこにつけ込んで利益を得ることができました。これらの攻撃に関する詳細な情報については、2018年のフォーティネットブログを参照してください。

XMRigを組み込んだ攻撃の亜種は、悪意あるAndroid APKやドッカーコンテナを利用してモバイルデバイスを攻撃しました。さらには、ドッカーコンテナを利用したり、NPM(Node Package Manager)を標的にしたサプライチェーン攻撃もありました。NPMサプライチェーンへの最新の攻撃については、11月の「脅威シグナル」をご覧ください。人気のあるNPMライブラリのハイジャックによるクリプトマイナーおよび情報窃盗マルウェアの拡散

2019年:GandCrabとRansomware as a Serviceの登場

GandCrabは、料金を徴収して一般大衆にランサムウェアを提供するという新たな手法を取り入れ、攻撃の規模と悪質性を拡大させました。GandCrabには2つの目的がありました。すなわち、組織への実際の攻撃には関わらないこと、そしてより多くの利益を得ることです。GandCrabによって、Ransomware-as-a-Service(RaaS:サービスとしてのランサムウェア)と呼ばれるビジネスモデルが完成しました。GandCrabの作成者はRaaSを利用することで、自分でコードを開発しつつ実際の攻撃は他人に任せるという、贅沢な立場を手に入れました。このモデルでは、すべての汚れ仕事(偵察、ラテラルムーブメント、ランサムウェアの配布、集金など)は協力者が行い、作成者は表に出ることなく分け前(25%~40%と推定されています)にあずかっていました。

作成者は標的を見つけて感染させるリスクを負う必要がなく、協力者はランサムウェアの開発に時間を割かなくてすむため、これは双方にとって有利な方法でした。GandCrabはアジャイル開発プロセスも参考にしていたらしく、作成者の判断でマイナーおよびメジャーリリースを行っていました。その後、GandCrabは20億ドルを稼いだとして、2019年6月に引退を発表しました。おそらく、当局の追跡を察知していたものと思われます。ただし、GandCrabの作成者はその後、SodinokibiおよびREvilの脅威アクターと緩やかに連携していたようです。Sodinokibi / REvilは、2021年夏のColonial Pipelineへの攻撃に関与したことでよく知られています。それ以外に、GandCrab以降に出現したRaaSの亜種としてはBlackCat、Conti、DarkSide、LockBitなどが有名です。

結論

1971年から2000年初頭まで、マルウェアの多くはいたずらや、ウイルス作成者がその効果を試すことを目的としていました。この間の20余年を駆け足で振り返ると、脅威の構図はいたずらを通り越し、利益を得るためのサイバー犯罪や国家主導の攻撃が関与するようになりました。同様に、「ウイルス」という初期の用語も、今ではすべてを総称する「マルウェア」へと変化しました。これは、過去20年間における脅威の進化を反映しています。このような攻撃の進歩や変化と、我々が生活している社会のハイパーコネクテッド化が同時に起こったのは偶然ではありません。

次の25年への一歩を踏み出すにあたり、脅威の75周年を想像して言えるのは、脅威は今後も先進的なテクノロジーや話題性のあるトレンドを標的にし続けるだろうということだけです。当然のことながら、次の12ヵ月を予測する方がはるかに簡単です。これについては、先日の「2022年の予測:拡大する攻撃対象領域を標的にする脅威」ブログで解説しています。ただし、最大のリスクは常に人間であるという点だけは、変わることはないでしょう。