マルウェアの歴史:サイバー脅威の進化の基本事項
2023年11月6日
読了時間:9分

マルウェアは、「悪意のあるソフトウェア」という意味を持つ合成語で、コンピューター・システムまたはそのユーザーに危害を加えることを意図的に目的として設計されたソフトウェアやコード、またはコンピューター・プログラムを指します。今日のほぼすべてのサイバー攻撃には、何らかのマルウェアが関与しています。これらの有害なプログラムの深刻度は、非常に破壊的でコストのかかるもの(ランサムウェア)から、迷惑ではあるもののそれ以外は無害なもの(アドウェア)までさまざまです。

毎年(ibm.com外部へのリンク)、企業や個人に対するマルウェア攻撃が数十億件発生しています。マルウェアは、Windows、Mac、iPhone、Android など、あらゆる種類のデバイスやオペレーティング・システムに感染する可能性があります。

サイバー犯罪者は、次の目的でマルウェアを開発および使用します。

  • デバイス、データ、または企業ネットワークを人質に取り、多額の金銭を得る
  • 機密データまたはデジタル資産への不正アクセスを取得する

  • ログイン認証情報、クレジットカード番号、知的財産、個人を特定できる情報(PII)、その他の貴重な情報を盗む
  • 企業や政府機関が依存する重要なシステムを混乱させる

これらの言葉はしばしば互換的に使用されますが、すべての種類のマルウェアが必ずしもウイルスであるとは限りません。マルウェアとは、次のようなさまざまな種類の脅威を表す包括的な用語です。

ウイルス:コンピューター・ウイルスは、リンクのクリック、添付ファイルのダウンロード、特定のアプリケーションの起動、その他のさまざまなアクションを通じて、人間の介入なしには複製できない悪意のあるプログラムとして定義されます。

ワーム:本質的に自己複製型ウイルスであるワームは、拡散するために人間の介入を必要とせず、さまざまなコンピューター・システムの奥深くまで侵入し、デバイス間を移動します。

ボットネット:「ボットハーダー」と呼ばれる単一の攻撃者によりコントロールされる、感染し、連動して動くコンピューターのネットワーク。

ランサムウェア: 最も危険な種類のマルウェアの 1 つであるランサムウェア攻撃は、重要なコンピューター・システムや機密データを制御してユーザーをロックアウトし、アクセスを回復するためにビットコインなどの暗号通貨で法外な身代金を要求します。ランサムウェアは、今日で最も危険な種類のサイバー脅威の1つです。

マルチ恐喝ランサムウェア:ランサムウェア攻撃の脅威が十分でないかのように、マルチ恐喝ランサムウェアはさらなる層を追加して、さらなる損害を引き起こしたり、被害者に屈服するようさらなる圧力をかけたりします。二重恐喝型ランサムウェア攻撃の場合、マルウェアは被害者のデータを暗号化するだけでなく、顧客情報などの機密ファイルを盗み出し、それを公開すると脅迫するために使用されます。三重恐喝攻撃はさらに進んで、重要なシステムを混乱させると脅したり、被害者の顧客や連絡先に破壊的な攻撃を拡大したりすることもあります。

マクロ・ウイルス:マクロは、通常、大規模なアプリケーションに組み込まれ、単純なタスクを迅速に自動化するコマンド・シリーズです。マクロ・ウイルスは、ユーザーが対応するプログラムを開いたときに実行されるアプリケーション・ファイルに悪意のあるソフトウェアを埋め込むことで、プログラム・マクロを利用します。

トロイの木馬:有名なトロイの木馬にちなんで名付けられたトロイの木馬は、有用なプログラムを装ったり、正規のソフトウェア内に隠れてユーザーを騙してインストールさせます。

スパイウェア:デジタル・スパイ活動ではよくあることですが、スパイウェアは感染したシステム内に潜んで機密情報を密かに収集し、それを攻撃者に送信します。

アドウェア:ほとんど無害であると考えられているアドウェアは、通常、無料ソフトウェアにバンドルされており、不要なポップアップやその他の広告でユーザーの画面にスパム通知を表示します。ただし、一部のアドウェアは個人データを収集したり、Webブラウザーを悪意のあるWebサイトにリダイレクトしたりする可能性があります。

ルートキット:ハッカーがコンピューターのオペレーティング・システムやその他の資産に対して管理者レベルの特権アクセスを取得できるようにするマルウェア・パッケージの一種。

マルウェアのマイルストーン

マルウェアには膨大な数と多様性があり、その完全な歴史を紐解くと、非常に長くなります。ここでは、マルウェアの進化において特に悪名高いものを取り上げます。

1966年:理論的マルウェア

最初の近代的なコンピューターが構築されていた頃、先駆的な数学者でありマンハッタン計画の貢献者でもあるJohn von Neumann氏は、システム全体に自己複製して広がるプログラムの概念を開発しました。Neumann氏の死後、1966年に出版された彼の著作「自己増殖オートマトンの理論」(ibm.com外部へのリンク)は、コンピューター・ウイルスの理論的基礎となっています。

1971年:Creeperワーム

John von Neumann氏の理論的な研究が発表されてからわずか5年後、プログラマーであるBob Thomas氏が、現代のインターネットの前身であるARPANET(ibm.com外部へのリンク)上の異なるコンピューター間を移動するように設計された「Creeper」という実験的なプログラムを作成しました。Eメールの発明者とされる同僚のRay Tomlinson氏は、Creeperプログラムを改良し、コンピューター間で移動するだけでなく、相互にこれをコピーできるようにしました。こうして最初のコンピューター・ワームが誕生しました。

Creeperはワームの最初の例として知られていますが、厳密にはマルウェアではありません。概念実証として、Creeperは悪意を持って作成されたものではなく、感染したシステムに損害を与えたり混乱させたりすることはなく、「私はCREEPERです。捕まえられるなら捕まえてみて」といういたずらっ子のようなメッセージを表示するだけでした。Tomlinson氏は独自の挑戦に取り組み、翌年、同様にARPANET上を移動してCreeperを削除するように設計された最初のウイルス対策ソフトウェア「Reaper」も開発しました。

1982年:Elk Clonerウイルス

Rich Skrenta氏が若干15歳で開発したElk Clonerプログラムは、もともとは単なる悪ふざけとして考案されたものでした。高校のコンピューター・クラブに所属していたSkrenta氏は、クラブ・メンバー間で共有するゲームやその他のソフトウェアを改変することで友人たちの間で知られており、多くのメンバーがこの悪ふざけ好きとして知られる人物からのディスクの受け取りを拒否するほどでした。

Skrenta氏が直接アクセスできないディスクのソフトウェアを変更しようとして、Apple社製コンピューターで使用される最初のウイルスを発明しました。現在ではブート・セクター・ウイルスと呼ばれるElk Clonerは、Apple DOS 3.3オペレーティング・システムに感染して拡散し、感染したフロッピー・ディスクから転送されると、自分自身をコンピューターのメモリにコピーします。その後、感染していないディスクがコンピューターに挿入されると、Elk Clonerは自分自身をそのディスクにコピーしたため、Skranta氏の友人のほとんどに急速に広がりました。Elk Clonerは意図的に悪意を持って作成されたものですが、誤ってフロッピー・ディスクを上書きしたり消去したりする可能性があります。また、次のようなメッセージも画面上に表示していました。

ELK CLONER:

個性的なプログラム

すべてのディスクに収録されます

チップに浸透します

はい、これはクローナーです


それは接着剤のようにあなたにくっつきます

RAMも変更します

クローナーで送信してください

1986年:Brainウイルス

CreeperワームはARPANET上のコンピューター間で移動できましたが、インターネットが広く普及する前は、ほとんどのマルウェアはElk Clonerのようにフロッピー・ディスクが感染経路でした。しかし、Elk Clonerの影響は1つの小さなコンピューター・クラブに限定されていたのに対し、Brainウイルスは世界中に広がりました。

パキスタンの医療ソフトウェア販売業者であったAmjadとBasitのFarooq Alvi兄弟によって作成されたBrainウイルスは、IBMパーソナル・コンピューターが感染した最初のウイルスであると考えられており、当初は著作権侵害を防ぐために開発されました。このウイルスは、ユーザーがソフトウェアのコピー版を使用できないようにすることを目的としていました。インストールされたBrainは、海賊に兄弟にワクチン接種を求めるメッセージを表示します。Alvi兄弟は、海賊行為の問題がいかに広範囲に及んでいるかを過小評価していたため、最初に米国から電話を受け、その後、世界中から数多くの電話を受けることとなりました。

1988年:Morrisワーム

Morrisワームは、悪意ではなく概念実証として作成された、マルウェアの前身となるものです。作成者であるMITの当時学生であったRobert Morris氏自身にとって不運だったことに、このワームは予想以上に影響力が大きいものとなりました。当時、インターネットにアクセスできるコンピューターは約6万台しかなく、そのほとんどは大学と軍隊内にありました。このワームは、Unixシステムのバックドアを悪用し、隠れたままでいるように設計されていたために急速に広がり、何度も自分自身を複製を繰り返し、ネットワークに接続されたすべてのコンピューターの10%に感染しました。

このワームは他のコンピューターに自分自身をコピーするだけでなく、感染したコンピューター上で自分自身を繰り返しコピーするため、意図せずメモリーを消費し、複数のPCの動作を停止させてしまいます。この事件は世界初の大規模なインターネットサイバー攻撃となり、被害額は数百万ドルに上るとの推定もあります。この事件でRobert Morris氏は、米国でサイバー詐欺で有罪判決を受けた初のサイバー犯罪者となりました。

1999年:Melissaワーム

Morrisワームほどの被害はなかったものの、約10年後に開発されたMelissaワームは、推定100万件のEメールアカウントと少なくとも10万台の職場のコンピューターに感染し、Eメールを介してマルウェアがいかに速く広がるかを示しました。このワームは当時最も急速に拡散し、Microsoft OutlookおよびMicrosoft ExchangeのEメール・サーバーに大きな過負荷を引き起こし、Microsoft、国防総省のコンピュータ緊急対応チーム、および約250の追加組織を含む300以上の企業および政府機関で処理速度の低下を引き起こしました。

2000年:ILOVEYOUウイルス

必要は発明の母という格言どおり、フィリピン在住の24歳のOnel de Guzman氏は、ダイヤルアップ・インターネット・サービスに加入する余裕がなかったため、他人のパスワードを盗むマクロ・ウイルス・ワームを作成しました。これが、ILOVEYOUという重大なマルウェアの始まりでした。この攻撃は、ソーシャル・エンジニアリングフィッシングの初期の例です。de Guzman氏は心理学を利用して人々の好奇心を食い物にし、ラブレターを装ったEメールで、悪意のある添付ファイルをダウンロードするように誘導しました。「多くの人がボーイフレンドを欲しがっている、お互いを欲しがっている、愛を欲しがっている、ということがわかった」とde Guzman氏は語っています。

一度感染すると、このワームはパスワードを盗むだけでなく、ファイルを削除し、数百万ドルの損害を引き起こします。英国議会のコンピューター・システムさえ一時的に停止させました。de Guzman氏は捕まり逮捕されましたが、地元の法律には違反していなかったため、すべての告訴は取り下げられました。

2004年:Mydoomワーム

ILOVEYOUウイルスと同様に、MydoomワームもEメールを使用して自己複製し、世界中のシステムを感染させました。Mydoomはいったん被害者のコンピューターに侵入すると、これを乗っ取り、自身のコピーをさらにEメールで他者に送信します。この驚くほど効果的なMydoomスパムは、世界中で送信されたすべてのEメールの25%に影響しました。この記録は未だ破られていません。最終的にこのスパムは、350億ドルの損害を引き起こしました。インフレを考慮しても、これは史上最も金銭的な破壊力を持ったマルウェアと言えるでしょう。

Mydoomは、Eメール・プログラムを乗っ取って、システムの感染範囲を最大化させるだけでなく、感染したコンピューターを使用してボットネットを作成し、分散型サービス拒否(DDoS)攻撃を開始します。その影響力にもかかわらず、Mydoomを使用するサイバー犯罪者はこれまで捕まったことも、特定されたこともありません。

2007年:Zeusウイルス

2007年に初めて特定されたZeusは、フィッシングやドライブバイダウンロードを通じて個人のコンピューターに感染し、さまざまな種類の悪意のあるソフトウェアを配信できるトロイの木馬型ウイルスの危険な可能性を示しました。2011年にそのソースコードと取扱説明書が漏洩し、サイバーセキュリティーの専門家と他のハッカーの両方に貴重なデータを提供しました。

2013年:CryptoLockerランサムウェア

ランサムウェアの最初の例の1つであるCryptoLockerは、急速な拡散と(当時としては)強力な非対称暗号化機能で知られています。CryptoLockerは、Zeusウイルスによって捕捉された不正なボットネットを通じて配布され、感染したPC上のデータを体系的に暗号化します。感染したPCが図書館やオフィスなどのローカル・ネットワーク内のクライアントである場合、共有リソースが最初に標的になります。

これらの暗号化されたリソースへのアクセスを取り戻すために、CryptoLockerの作成者は、当時の価値で約715米ドルに相当する2ビットコインの身代金を要求しました。幸運なことに、2014年に司法省は国際機関と協力し、悪意のあるボットネットの制御を掌握し、人質データを無料で復号することに成功しました。しかし、残念ながら、CyrptoLockerプログラムは基本的なフィッシング攻撃を通じても拡散しており、依然として脅威となっています。

2014年:Emotetトロイの木馬

かつてドイツ情報セキュリティ局長のArne Schoenbohm氏によって「マルウェアの王」と呼ばれたトロイの木馬「Emotet」は、情報セキュリティーの専門家が完全駆除することを困難にするポリモーフィック型マルウェアの代表的な例です。ポリモーフィック型マルウェアは、複製されるたびに自身のコードをわずかに変更し、正確なコピーではなく、同様に危険な亜種を作成することで機能します。実際、ポリモーフィック型トロイの木馬はマルウェア対策プログラムが識別してブロックするのが難しいため、より危険です。

Zeusトロイの木馬と同様に、Emotetは他の形式のマルウェアを配信するために使用されるモジュール・プログラムとして存続し、従来のフィッシング攻撃を通じて共有されることがよくあります。

2016年:Miraiボットネット

コンピューターが進化し続け、デスクトップからノートPC、モバイル・デバイス、そして無数のネットワーク・デバイスへと多様化するにつれて、マルウェアも進化します。モノのインターネットの台頭により、スマートIoTデバイスには新たな脆弱性が数多く生じています。大学生のParas Jha氏によって開発されたMiraiボットネットは、セキュリティーが脆弱な、主にIoT対応のCCTVカメラを大量に乗っ取りました。

Miraiボットネットは当初、ゲーム・サーバーを標的としたDoS攻撃を目的として設計されましたが、Jha氏の予想以上に強力でした。このボットネットは大手DNSプロバイダーを標的とし、米国東海岸の広大な地域をほぼ丸一日にわたってインターネットから事実上遮断しました。

2017年:サイバースパイ活動

マルウェアは長年にわたりサイバー戦争の重要な対象でしたが、2017年は比較的目立たないランサムウェア「Petya」に始まり、国家が支援するサイバー攻撃や仮想スパイ活動が活発化した年となりました。危険ではあったものの、フィッシングを通じて拡散したPetyaランサムウェアは、NotPetya ワイパー ワームに改変されるまでは特に感染力は強くありませんでした。このワイパー・ワームは、一ランサムウェアのように見えるもの、身代金を支払ってもユーザーのデータを破壊するプログラムでした。同じ年には、WannaCryランサムウェア・ワーム(ibm.com外部へのリンク)が、ヨーロッパ、特に英国の国民保健サービスで多くの著名な組織を攻撃しました。

NotPetyaはロシア諜報機関と関係があると考えられており、同機関がウクライナを攻撃するためにPetya ウイルスを改変した可能性があります。また、WannaCryは北朝鮮政府の諜報機関との関連性が疑われています。これら2つのマルウェア攻撃の共通点は何でしょうか。どちらの脆弱性も、国家安全保障局によって最初に発見された「Eternalblue」と呼ばれるMicrosoft Windowsの脆弱性によって有効化されました。Microsoft社は最終的に自らこの脆弱性を発見し、パッチ・プログラムを開発しましたが、ハッカーがこの脆弱性を悪用できるようになる前に報告しなかったことについてNSAを批判しました。

2019年:Ransomware-as-a-Service(RaaS)

近年、ランサムウェア・マルウェアは脅威の深刻さで注目を集めるものの、数自体は減少傾向にあります。しかし、ランサムウェア攻撃の成功例は減少しているとはいえ、ハッカーはより知名度の高い標的を狙い、より大きな被害を引き起こしています。近年勢いを増している厄介な問題はRansomware-as-a-Service(RaaS)です。ダークウェブのマーケットプレイスで提供される RaaS は、プロのハッカーが料金と引き換えにランサムウェア攻撃を実行するプラグ・アンド・プレイ式のプロトコルを提供しています。これまでのマルウェア攻撃にはある程度の高度な技術が必要でしたが、RaaSを提供する犯罪グループは、悪意と金銭さえあれば誰でも攻撃できるようにしました。

2021年:緊急事態

最初の注目を集めた二重脅迫型ランサムウェア攻撃は2019年に発生し、ハッカーがセキュリティーに特化した人材派遣会社Allied Universal社に侵入し、データを暗号化すると同時に盗んだデータをオンラインで公開すると脅迫しました。この追加レイヤーにより、Allied Universal社がファイルを復号化できたとしても、損害の大きなデータ侵害に見舞われることになります。この攻撃も注目に値するひどい事例でしたが、2021年に起きたColonial Pipeline社への攻撃は、暗示された脅威の深刻さでさらに記憶に残るものとなりました。当時、Colonial Pipeline社は米国東部のガソリンとジェット燃料の45%を供給していました。数日間続いたこの攻撃は東海岸沿いの公共部門と民間部門の両方に影響を及ぼし、バイデン米大統領は一時的な非常事態を宣言しました。

2022年:国家的緊急事態

ランサムウェア攻撃は減少しているように見えるかもしれませんが、高度に標的を絞った効果的な攻撃は、依然として恐ろしい脅威をもたらしています。2022年、コスタリカは一連のランサムウェア攻撃(ibm.com外部へのリンク)に見舞われ、まず財務省が機能不全に陥り、民間の輸出入ビジネスにも影響が出ました。その後の攻撃により、国の医療システムがオフラインとなり、国のすべての国民が直接影響を受ける可能性がありました。その結果、コスタリカは、サイバー攻撃に対応して国家緊急事態を宣言した最初の国となりました。

 
著者
Josh Schneider Writer, IBM Blog