最近セキュリティに関して興味を持ち始めた方は、20年前に初めて登場し、感染力が壊滅的に高いILOVEYOUウイルスについてご存じないかもしれません。このウイルスはフィリピンで作成されたもので、知り合いから「ILOVEYOU」という件名のメールが届き、添付ファイルを読むように指示されます。

受信者がラブレターを開かずにはいられず、添付されているファイルをクリックすると、ホストコンピュータ上のファイルが上書きされてしまいます。また、ウイルスは被害者の連絡先に登録されている人にも同じメールを送信します。これは初期のソーシャルエンジニアリングの見事な例でした。数日のうちに、世界中の5000万台以上のコンピュータが感染し、受信者は気恥ずかしい思いをさせられました。FBIは、このウイルスとその亜種が世界で80億～100億ドルの損害をもたらしたと推定しています。

ILOVEYOUウイルスの流行から20年。アバストのセキュリティ エバンジェリストのルイス・コロンス（Luis Corrons）とシニア セキュリティ リサーチャーのマーティン・フロン（Martin Hron）に、ILOVEYOUウイルスに関する考えと、ウイルスの今後について話し合ってもらいました。

2000年5月5日のことを覚えていますか？

アバスト セキュリティ エバンジェリスト、ルイス・コロンス： 当時、私は別のセキュリティ会社の技術サポートチームで働いていました。その日のことはよく覚えています。夜勤で、夜10時から朝8時まで働いていたので、ILOVEYOUウイルスが報道されたときは家にいました。その日は午後6時に早く出勤し、結局午前10時まで働いていました。メールシステムや企業のインターネットがダウンしていたため、FAXを送信したり、ウイルス定義の更新が書かれたディスクを用意し、宅配便で送らなければいけなかったことを覚えています。

アバスト シニア セキュリティ リサーチャー、マーティン・フロン：当時働いていた会社にメールが届き、不幸にも会社の会計士が添付ファイルを開いてしまいました。私はその時初めてアンチウイルスをコーディングすることとなりました。どちらかというとリムーバーやクリーナーのようなものでした。実は最近、古いファイルを整理していた時にこのプログラムを見つけたのですが、まだ機能していました。私はそのプログラムを「I hate you」アンチウイルスと呼んでいました。

WannaCryやILOVEYOUウイルスのようなことが再度起こる可能性はあると思いますか？

コロンス：WannaCryと似たような攻撃の可能性は高いと思いますが、ILOVEYOUウイルスのような攻撃を目にすることはないと思います。

最近のマルウェアは、20年前のILOVEYOUウイルスよりはるかに速いペースで増殖します。

また、20年前は、悪意のある目的で使用される.vbs（visual basic script）ファイルを見たことのある人が非常に少なかったため、多くの人がファイルをクリックする原因となってしまいました。インフラの観点から見ても、政府や企業でもネットワークの容量は今と比べ物にならないほどで、ネットワークが感染するとすべてが崩壊してしまいました。さらに、20年前はメールが唯一のデジタルコミュニケーションツールであり、Slackのようなチャットアプリケーションはありませんでした。20年前のアンチウイルス企業は、顧客にFAXで指示を出さなければならず、またウイルスから発生するトラフィックの量が膨大だったため、企業はネットワークを切断せざるを得ませんでした。

ILOVEYOUウイルス流行から数年後には、ユーザーの操作なしで、はるかに速く拡散される「ワーム」が現れ、世界中の何百万人もの人々に影響を与えました。しかし、Blasterのような攻撃を受けてもネットワークは健在でした。

フロン：ボットネットによる攻撃やWannaCryのような自動化された攻撃は今後も増えていくと思います。さらに、脅威は時とともに複雑化しており、複数の段階で攻撃を実行するようになりました。ユーザーがフィッシングメールを開いたり、フィッシングリンクをクリックするだけで攻撃が開始することもあります。また、ユーザーが悪意のあるリンクを開いたことで、ネットワークのルーターが危険にさらされるケースも見られます。これにより、ユーザーのシステムにさらに多くのバックドアが開かれたり、最終的にはランサムウェアやパスワード・スティーラーなどの脅威をもたらす悪質なウェブサイトにユーザーが誘導されたりします。

攻撃の背後にある動機も過去20年の間に大きく変化しています。私が初めてウイルスに遭遇したのは1991年で、ハードドライブの最初の100セクタを上書きし、マシンを起動できなくする、「ミケランジェロ」と呼ばれるものでした。当時のウイルスは概念実証や作者の誇りでした。最近は、企業や銀行を標的としたお金を盗むためのウイルスや、サイバー戦争に導くためのプロパガンダやフェイクニュースを広めるための国家支援型ウイルスなどが見られます。

ウイルスがこれほど広く急速に拡散するためには、何が悪用されているのでしょうか？

コロンス：今日、インターネットには何十億ものデバイスが接続されています。悪意のあるワームが広範囲かつ急速に拡散するためには、マルウェアが脆弱性を悪用し、ユーザーの操作なしに拡散される必要があり、これはWannaCryの動作に似ています。複数のIoTの脆弱性を利用することができるワームは、家庭や企業を標的とした世界規模の攻撃を引き起こす可能性があります。

フロン：IoTデバイスは悪用される可能性が高いと思います。これらのデバイスは24時間365日インターネットに接続されているため、いつでも攻撃を受けることができます。脆弱なデバイスが普及すると、大規模な攻撃は避けられないものとなります。コロンスが言ったように、世界的な騒乱は広く存在する欠陥から始まります。ここ数年、VPNFilterやLoJack、Intelの管理エンジンファームウェアに対する攻撃など、ユーザーの操作なしでIoTデバイスやコンピュータのファームウェアレベルで行われる攻撃が爆発的に増えています。この傾向の理由として、これらの攻撃は通常セキュリティに精通していないユーザーには発見しにくいことが挙げられます。

脅威から身を守るにはどうすればいいのでしょうか？

コロンス：攻撃の種類にかかわらず、セキュリティは重要です。過去のWindowsは非常に脆弱でしたが、今ははるかに安全になりました。しかし、犯罪者は常にWindowsオペレーティングシステムの脆弱性やリスクを見つけ、悪用しようとしていますし、今後もそうし続けるでしょう。

IoTデバイスに関しては、Windows 95と同レベルのセキュリティのデバイスがほとんどだと思います。IoTデバイスを設計する際にセキュリティが考慮されることはほとんどなく、IoTソフトウェアからデータの転送、ポートのセキュリティに至るまで、すべてが脆弱性の攻撃の対象となっています。

フロン：さらに付け加えておきたいのは、ユーザー自身が蔓延している脅威がどのようなもので、どのように対処するのかを理解しておくこと、また最新のセキュリティ上の問題を把握し、ソリューションを利用することも攻撃を防ぐために重要になっています。もちろん、セキュリティ業界は、セキュリティ製品の検知メカニズムの改善や各種ソリューションの提供、ユーザーへの教育など、人を守る役割を担っています。しかし、最終的にはユーザー次第です。マルウェアのインストールや機密情報の漏洩につながるソーシャルエンジニアリング詐欺に直面したとき、正しい判断ができるようセキュリティについて学び、自分の身を守れるようにしましょう。

この記事は2020年5月5日に公開されたRemembering the ILOVEYOU virus twenty years laterの抄訳です。