チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
チップスボス!昔のウイルスってただのイタズラだったんじゃないでしゅか?なんでそんな大騒ぎになったんでしゅ?
ボスチップス、その認識が一番危ない。
あの時代の混乱は、今のセキュリティの礎を築いた。
歴史から目を背けるな。
2000年初頭といえば、やっとパソコンの普及率がワープロを追い抜いた頃。
こんな時にどんなセキュリティ事故・事件が起こっていたのでしょうか?
「あのウイルス騒ぎ、会社が大混乱したよな……」
「パッチを当ててなかっただけで、こんな被害になるのか……」
このような記憶を持つ方も、初めて耳にする方も、ぜひこの記事を読んでみてください。
技術の進化と普及の影で、当時の現場がどれほどの混乱に陥ったか。
その事実は、今もセキュリティの根幹に生きています。
1999年〜2005年に実際に起きた10のセキュリティ事件を取り上げます。
具体的には、以下のポイントを整理してお伝えします。
この記事を読むことで、「なぜパッチ管理が大事なのか」「なぜ多層防御が必要なのか」という問いに、歴史的な根拠をもって答えられるようになります。
是非最後まで読んで、先人の失敗を自分の知恵に変えましょう。
2000年代初頭といえば、インターネットが「一部の人が使うもの」から「みんなが使うもの」に変わりつつあった、ちょうどその狭間の時代です。
実はこの2000年という年は、歴史上初めてパソコンの普及率(50.5%)がワープロの普及率(44.7%)を追い抜いた年でした。
ワープロは「文字を打って印刷すること」しかできませんでしたが、パソコンなら「インターネットもできるし、メールも送れるし、さらに(Wordなどのソフトを使えば)ワープロと同じように書類も作れる!」というワープロの完全上位互換だったため、みんな一斉にパソコンを買い始めたのです。
PCでネットに繋ぐといえば、2001年にYahoo! BBがADSLサービスを提供し始めるまでは、まだダイヤルアップが主流で、Windowsのアップデートなんて誰も気にしていませんでした。
※ダイヤルアップ:電話線を借りてインターネットに繋ぎ、繋いだ時間分だけ電話代が掛かる方式
2003年にはインターネット利用者が8,400万人を超え、人口の約66%がネットを使う環境が整いました。
2001年の4,700万人からわずか2年でほぼ倍増したことになります。
ただ、急速に利用者が増えた分、セキュリティの知識がほとんどない「初めてネットを使う人たち」も同じペースで増えていきました。
当時のPCユーザーのほとんどが使っていたのは、Windows 98 / 2000 / XPです。
2001年にWindows XPが発売されると爆発的に普及し、ブラウザはIE(Internet Explorer)、メールソフトはOutlook Expressがほぼ標準の組み合わせになりました。
この「Microsoft製品への一極集中」が、後のウイルス被害が爆発的に広がる最大の理由になります。
攻撃者の立場から見れば、「世界中で最も多く使われているソフトの脆弱性を見つければ、一気に最大数の被害が出せる」わけです。
IEとOutlookのシェアが高ければ高いほど、1つの穴が世界規模の事件につながりやすくなります。
今回紹介するMelissaもNimdaもBlasterも、まさにこの構造を利用した攻撃でした。
携帯電話もどんな時代であったか振り返ってみます。
スマートフォンなんてもちろんありません。
2000年代初頭はガラケーやPHSがどんどん普及していた時代です。
1999年にNTTドコモが「iモード」を開始したことで、携帯でメールやネットが使えるようになりました。
ただ、当時の「携帯でネット」というのは、専用の「iモードサイト」しか閲覧できないもので、今のスマホのようにどのサイトでも自由に見られるわけではありませんでした。
今で言えばイントラネットに近いイメージです。
しかも、画像もドット絵のような粗く小さいものしか表示できず、動画も観られませんでした。
そして忘れもしない「パケ死」という言葉が出てきたのもこの頃です。
携帯電話からのネット通信は従量課金だったので、使いすぎると月に数万円の請求が来て親に怒られることを当時は「パケ死」と呼び、みんな恐れながら利用していました。
(私も「パケ死」した中の一人です…)
当時の携帯は「電話とメールができる端末」という位置づけで、ウイルスやサイバー攻撃の主戦場はあくまでもPCでした。
当時のセキュリティ問題の根本は、技術よりも意識の問題でした。
NPO日本ネットワークセキュリティ協会(JNSA)の2002年度調査によると、こんな実態が浮かび上がっています。
ウイルス対策ソフトの導入率が85%というと一見高く聞こえますが、残りの15%は完全に無防備だったわけです。
しかも当時は「ウイルス定義ファイルを最新に保つ」という習慣そのものが普及していませんでした。
個人ユーザーに至っては、そもそもウイルス対策ソフトを入れている人自体が少数派という状況でした。
パッチ適用についても同じです。
MicrosoftがWindowsのセキュリティパッチを公開しても、「何かよくわからないアップデートが来てるけど、後でやればいいか」という反応が当たり前でした。
この記事で後ほど紹介するCode Red(2001年)もSQL Slammer(2003年)も、パッチ公開から数ヶ月〜半年後に起きた事件です。
「パッチを当てて初めて安全になる」という当たり前の認識が、まだ定着していませんでした。
ボスそもそもパソコンを使い始めて間もない人が大多数の中、覚えたての画面をワケも分からず操作していただろう。
そんな中でセキュリティのことまで考えられていた人はほとんどいなかったんだと想像できるな。
今でこそ「CISO(最高情報セキュリティ責任者)」や「セキュリティエンジニア」は多くの企業で設置されていますが、2000年代初頭の日本ではそういった役職が存在しない会社がほとんどでした。
当時の多くの企業では、情報システム部門があっても、セキュリティ専任の担当者は置かれていませんでした。
「社内でPCに詳しい人」がセキュリティ対応まで兼務するのが普通で、外部の専門家を使う文化もほぼありませんでした。
セキュリティ対策は「コストがかかるのに成果が見えにくい部門」として扱われ、予算も人員も後回しになりがち。
IPA(情報処理推進機構)のレポートによれば、企業でCSIRT(コンピュータセキュリティインシデント対応チーム)の設置が本格的に議論されはじめたのは2004年頃からです。
それ以前は、インシデントが発生しても「誰が何をどの順番でやるか」が決まっていない会社がほとんど。
急速に普及するインターネット。
セキュリティ知識のない大量の新規ユーザー。
パッチを当てない習慣。
専任担当者の不在。
経営層の無関心。
これだけの条件が重なった状況で、あとは「火種」が1つあれば連鎖的に燃え広がります。
その火種となったのが、これから紹介する10の事件です。
「知人からのメールだから安心」
その油断が世界を飲み込んだ。
歴史上初めて大規模なメール感染を引き起こしたマクロウイルス。
手口と概要:
会社に出勤してPCを開けると、見慣れた同僚の名前からメールが届いていた。
「これ、欲しがってた書類だよ」と特に疑わずWordファイルを開いた。
その瞬間、自分のOutlookが静かに動き出していたことには気づかなかった…。
数時間後、「なんであなたから変なファイルが届いたんだけど」という電話が来て初めて事態を把握した。
自分のアドレス帳の全員に、あのWordファイルが送られていた。
上司に、取引先に、なぜか彼女にも。
謝罪の電話をかけ続けながらITに連絡しようとしたが、その頃にはもうメールサーバーがダウンしていた。
15歳の少年1人が、インターネットをクラッシュさせた——世界はその事実に震撼した。
手口と概要:
ネットショップを運営していた店主は、その日の午後に売上がぴたりと止まったことに気づいた。
Yahoo!経由の注文が売上の大半を占めていたのに、画面にはずっとエラーメッセージが出続けている。
「またサーバーが重いのか」と思って待ち続けたが、1時間経っても回復しない。
ニュースをつけると「Yahoo!がダウン」「eBayもダウン」「CNNも」という報道が流れていた。
誰かに攻撃されているらしい。
しかし自分にできることは何もない。
止まった画面を前に、失われていく売上を頭の中で計算し続けた。
パッチは出ていた。
でも誰も当てていなかった。
その慢心が、ホワイトハウスを標的にする凶器を生んだ。
手口と概要:
土曜の深夜、寝ていた社内サーバー担当者の携帯が鳴った。
「Webサイトが乗っ取られてる」という同僚からの連絡だった。
半分眠ったまま会社のVPNに繋いでブラウザを開くと、自社のトップページが「HELLO! Welcome to http://xxxx! Hacked by Chinese!」という文字で埋め尽くされていた。
1ヶ月前にパッチが出ていたのは知っていた。
「週明けにやろう」と思って後回しにしていた、あのパッチを。
翌週の役員報告がどんな空気になるか想像しながら、夜中に対応作業を始めた。
「Admin」を逆から読んだ名の悪魔。
5つの感染経路を同時に使い、世界中のネットを22分で掌握しようとした。
手口と概要:
9月11日のテロ直後という張り詰めた空気の中、セキュリティ担当者はCode Redの駆除対応にひとまず区切りをつけていた。
ようやく終わった、と思った翌9月18日の朝、また別のアラートが上がってきた。
感染の経路がわからない。
メールを遮断しても止まらない。
Webサーバーを隔離しても感染が続く。
ファイアウォールのログをいくら見ても、どこから入ってくるのかが特定できない。
「昨日やっとCode Redを片付けたのに……」という言葉を吐きながら、また徹夜の対応が始まった。
これまではウィルスは「目立ちたい」「混乱させたい」という人を困らせる”イタズラ”の側面が大きかったです。
しかし、ここから先、ウイルスは”イタズラ”ではなくなってきました。
カネになる武器へと徐々に変遷していきます。
376バイト。
それだけのコードが、10分でインターネットを止めた。
史上最速の感染記録は、今も破られていない。
手口と概要:
2003年1月25日の土曜の朝、ソウルに住む会社員はコンビニのATMの前で足が止まった。
「ただいまサービスをご利用いただけません」。
隣のATMも同じ表示、その隣も同じだった。
財布の現金はほとんどない。
携帯で家族に連絡しようとしたが、回線が混雑していてつながらない。
ニュースを確認しようとしてもWebが開かない。
街全体が何かにのまれているような感覚の中で、「いったい何が起きているんだ」という思いだけが残った。
原因がわかったのは、その日の夜になってからだった。
「60秒後にシャットダウンします」
朝出社したら、全PCが落ち続けていた。
あのカウントダウンを経験した人はきっと覚えているはず。
手口と概要:
8月のある朝、IT担当者が出社してから10分も経たないうちに内線電話が鳴り始めた。
「PCが急に落ちました」「再起動したらまた落ちました」「画面に60秒後にシャットダウンしますって出ています」——フロア全体から、同じ報告が同時多発的に上がってくる。
原因を調べようとしても自分のPCも60秒後に落ちる。
上司から「どうなってるんだ」という内線が来る。
さばき切れないまま社内放送のマイクを取り、「今すぐ全員、LANケーブルをPCから抜いてください」と叫んだ。
その日の午前中、フロア中からケーブルが引き抜かれる音が続いた。
ウイルスがビジネスになった日。
Sobig.Fは、サイバー犯罪が「金になる仕事」に変わった瞬間を象徴する。
手口と概要:
朝イチでメールを開くと、見知らぬ外国語の件名が並んでいた。
「Mail Delivery Failed」「Undeliverable Message」——自分が送った覚えのないメールが、エラーになって戻ってきている。
最初の数件は無視していたが、気づけば100件を超えていた。
IT部門に連絡すると「あなたのPCが感染していて、自動的に大量メールを送っています」と言われた。
取引先に、昔の知人に、登録してあるすべてのアドレスに。
自分が意図せず加害者になっていた。
謝罪メールを送ろうとしたが、メールサーバーはすでに限界を超えていた。
「これは仕事だ。悪意はない。すまない」
ウイルスコードに残されたそのメッセージが、すべてを物語っていた。
手口と概要:
「Error」「Mail Delivery System」という件名のメールが1日に何十件も届いていた。
最初はスパムだと思って無視していた。
しかし数日経っても量が増える一方で、IT部門に相談した。
調べてみると、自分のPCから見覚えのないアドレスに向けてメールが大量送信され続けていた。
ウイルス対策ソフトを起動しても「問題は検出されませんでした」と表示される。
何かに乗っ取られているのに、何も見えない。
PCを使うたびに「今も何かが動いているんだろうか」という感覚がつきまとい、キーボードを打つ手が少し重くなった。
外からではなく、内側から崩れた。
451万人分の個人情報が流出したこの事件は、日本中を震撼させ、個人情報保護法制定を加速させた。
手口と概要:
ある日、郵便受けにソフトバンクBBからの封書が届いた。
開封すると「お客様の個人情報が外部に流出した可能性があります」という文面が目に入った。
名前、住所、電話番号、メールアドレス。
Yahoo! BBに申し込んだときに登録したすべての情報が対象だと書かれていた。
「今、誰かが自分の住所を知っている」——その事実がじわじわと実感に変わるのに、少し時間がかかった。
その日から、知らない番号からの電話に出るのが怖くなった。
身に覚えのないメールが届くたびに、あの封書のことを思い出した。
CDを買って再生しただけで、PCがハッキングされた。
信頼していた大企業が敵だった。
手口と概要:
好きなアーティストの新しいCDを買ってきて、PCのドライブに入れて再生ボタンを押した。
使用許諾の画面が出たので、いつも通りOKをクリックした。
その後、PCが少し重くなった気がしたが、CDを1枚入れた程度で何かが変わるとは思わなかった。
数週間後、ニュースで知った。
あのCDを再生したとき、ルートキットが自動的にPCにインストールされていたと。
しかもそのルートキットを悪用した別のウイルスがすでに出回っていると。
音楽を聴こうとしただけなのに、自分のPCは気づかないうちに危険な状態に置かれていた。
「CDを買って再生しただけで、なんで」という言葉が、しばらく頭から離れなかった。
この時代に起きた10の事件を振り返ると、現代のセキュリティ対策の「なぜ」が見えてきます。
Melissa、Code Red、SQL Slammer、Blasterに共通しているのは、パッチが公開済みだったにもかかわらず適用されていなかったという事実です。
「後でやればいい」という先送りが、世界規模の被害につながりました。
パッチ管理を即時・自動化することが業界の常識になったのは、これらの失敗があったからです。
Nimdaはファイアウォール一枚で守れる時代の終わりを告げました。
メール・Web・ネットワーク共有・バックドアと、5つの経路を同時に使う攻撃の前では、境界を守るだけの発想では対応できません。
多層防御(Defense in Depth)という考え方が本格的に広まったのは、まさにNimdaの衝撃があったからです。
Sobig.FとMyDoomは、マルウェアが「破壊のための道具」から「金を稼ぐための道具」に変わった転換点でした。
感染したPCをスパム送信やDDoSに使う仕組みは、今日のランサムウェアやCaaS(Crime as a Service)の原型です。
サイバー攻撃がビジネスになった、その始まりがこの時代にありました。
Yahoo! BB事件は、外部からの攻撃だけを警戒していた企業に「内側こそが最大のリスクになりうる」ことを突きつけました。
アクセス権限の管理、最小権限の原則、ログの取得と監査など、これらが企業セキュリティの基本として定着するきっかけになった事件です。
そしてSony BMG事件は、信頼していた大企業の製品が自分のPCに無断でルートキットを仕込んでいたという前代未聞の出来事でした。
「有名ブランドだから安全」という感覚が崩れ、製品のセキュリティ品質を問う文化、そしてユーザーのデジタル権利という概念が生まれていきました。
この時代の失敗がなければ、今のパッチ管理の文化も、多層防御の概念も、CISOというポジションも、個人情報保護法も、もっと遅れていたかもしれません。
先人たちが痛い目を見て積み上げてきたものの上に、現在のセキュリティは成り立っています。
チップスボス!つまり今のセキュリティの常識って、全部この時代の失敗から生まれたんでしゅね……
ボスそうだ。
先人の痛みを知れ。
それが真のセキュリティエンジニアへの第一歩なのだ!
