史上初のスマートフォンマルウェアの登場から10年

2004年6月15日、正確にはモスクワ時間同日19時17分、コンピューターセキュリティの新時代の幕開けとなるできごとがあった。スマートフォン用に作成された初のマルウェアを当社が発見したのだ。

これはCabirというマルウェアで、NokiaのSymbian搭載デバイスに感染し、保護されていないBluetooth接続を介して拡散していた。コンピューターがマルウェアに狙われていることは、当時から誰もが(世捨て人や修道僧以外は)十分に知るところだったが、この発見によって、スマートフォンもマルウェアの標的となったことが世界に知れわたった。確かに、最初は多くの人が、「ウイルスが電話に感染するだなんて、そんなわけないだろう」と疑っていたものだ。だが、この件の単純な事実は、遅かれ(数年後10年後)早かれ(数か月後)、ほぼすべての人が理解することになる(いまだに気づいていない人も一部にはいるが)。その間に、当社のアナリストは歴史書に載るまでになった!

なぜ我々はこのマルウェアをCabirと名付けたのか?当社のモスクワ本社に、電波を遮断する特殊な実験室を作ったのはなぜか?CabirはどうやってF-Secure社員のポケットに入り込んだのか?こうした疑問を、当社のチーフセキュリティエキスパート、アレックス・ゴスチェフ(Aleks Gostev)に、イントラネットで実施したインタビューで聞いた。今回はその内容を皆さんに紹介しようと思う。このヒーロー饒舌な男の言葉を直接お伝えするのがいいだろう…

ちなみに、この話が本格的に始まるのは、Cabirの分析にこの2つのデバイスを使うところからだ。

私たちが解析に使ったNokiaのSymbian端末

…が、他にも多くのことを聞いた…

– Cabirの出現は10年前だが、当時のモバイルマルウェア全体の状況はどうだったのか?

10年前は、モバイルウイルスなど存在しないも同然でした。私が覚えている当時の状況といえば…2004年前半、国際的なプレスカンファレンスをKasperesky Labが開催したときのことです。あるジャーナリストが、携帯電話を狙う最初のウイルスはいつ現れるのかと私に聞いたんです。翌年のプレスカンファレンスまでには確実に登場しますよ、と私は答えました。案の定、その数か月後でしたね、初のモバイルウイルスが出現したのは…

交代制で勤務していたウイルスアナリストの元に、変わったファイルが送られてきました。どんなプラットフォームで動作するのかわからないファイルです。アナリストはこの不審なファイルを分析するために、同僚のローマン・クズメンコ(Roman Kuzmenko)に協力を求めました。クズメンコはうってつけの人物でした。非常に優秀なアナリストで、奇怪な謎を解き明かすことにかけて彼の右に出る者はいませんからね。クズメンコは期待どおり、このファイルがARMプロセッサで動作するSymbian OSを狙うウイルスだということを、ものの数時間で突き止めました。ARMとSymbianという組み合わせは、携帯電話以外にないんです。もっと言えば、Nokia製のスマートフォンだけです。

この時点では、このウイルスが何をするのかすぐには解らなかったので、テストが必要でした。しかし、その前にNokiaのスマートフォンを入手しなければならない。これが思いのほか大変でした!そんな「先進的な」携帯電話は、今みたいにどこでも売られているわけではありませんでしたから。その間、当社のアンチマルウェアラボではウイルスの解析を進め、ほどなくして見つけたのです…「爆弾」をね!主な機能は、Bluetoothプロトコルを使ったファイル送信でした。病気を、ウイルス性の病気をまん延させるための、信じられないほど効率的な手段に思えました…

– Kaspersky LabNokia製デバイスがなかったという話に戻るが、それは当時、モバイルマルウェアをテストする環境がなかったということかな?

そういうことです。当時販売されていたスマートフォンを、すぐテストできるように買いそろえていたわけではなかったので。必要だろうという発想すらありませんでした。携帯電話に感染するウイルス自体がまだ存在していませんでしたし。

このときうちのアナリストが解析に成功したのは、初の携帯電話ウイルスでした(後にCabirと名付けられた。詳細は後述)。これを皮切りに、ウイルス作成者の間で、スマートフォンを標的とした悪質コードの開発競争が始まり、驚くべきスピードでスマートフォンウイルスが作成されていきました。あまりにも早いペースで新種が登場するので、2004年末には、モバイルウイルスの解析を専門とする新しい部署が必要だということになりました。何より、コンピューターウイルスとはまったく別物だったので。

そんなわけで専門部署が立ち上がり、私が責任者に就いたのです。後にアナリストのデニス・マースレンニコフ(Denis Maslennikov)が加わりました。私たち2人が最初に決めたことの1つは、販売されているモバイルデバイスを買いそろえることでした。悪意のあるコードに攻撃される可能性が(理論上だけだとしても)あるデバイスは全部買う。これがとても楽しかったですね。やはり、新しいツールを買うのがいやな人などいません。一度にたくさん買うとなれば、なおさらでしょう?当時販売されていたSymbianデバイス全機種に加えて、WindowsやBlackBerryなどを搭載する携帯電話も残らず購入しました。今でも新しいモバイルデバイスが出たら、この魅力的で一分の隙もないコレクションに加え続けています。新たなモバイルの脅威が出現したときに、すぐにテストできるようにね。

では、なぜCabirという名前に?Securelistのスクリーンショットを見ると、ファイルに別の名前が含まれているようだが。

Cabir = Caribe

ああ、それはまた別の話ですよ。スクリーンショットに写っている「Caribe」という名前は、ウイルスの作成者が付けた名前です。しかし、ウイルス作成者が付けた名前をそのまま採用するのではなく、新しい名前を考えるのが、アンチウイルス業界の慣習です。作成者の自尊心を刺激しないようにするためなんですが、…もしかすると、自分たちが打ち負かしたウイルスに対して権威を示す、という意味もあるかもしれないですね。

私たちは実に先進的な作業に…名前を決める、という作業に取り組んでいました。そのとき、同僚のエレナ・カビロワ(Elena Kabirova)が部屋にやってきたんです。ユングが言うところの共時性というやつかな、彼女の姓がこのウイルスの名前に似ていたものだから、史上初の携帯電話ウイルスの名前として自分の名を歴史に残さないか、と本人に聞いてみました。で、それが…歴史になったというわけです。

で、標的になった携帯電話を1台も持っていなかったのに、どうやってこのウイルスの正体を突き止めた?

ウイルス関連ではよくあることですが、このウイルスを含む添付ファイル以外に何もないメールが届きました。当社ではウイルス送付先として専用アドレス(newvirus@kaspersky.com)を持っていて、そこへ送られてきたのです。差出人は、私たちの知る人物でした。うちのデータベースに登録されていて、正確にはウイルス作成者ではないんですが、アンダーグラウンドに「関わりを持つ」とされている男です。彼は折にふれて、ヨーロッパのウイルス作成者が開発した新種のマルウェアサンプルを送ってきていました。送られてくるのは、ほとんどが深刻な、つまり、他にはない新種のウイルスだったので、そのときも重大なウイルスだろうなとすぐに見当がつきました。これが予想どおりだったことは、マルウェアコードに含まれていた文字列(29Aへの言及など)によってすぐに裏付けられました。そしてこのとき、私たちが調べていたファイルが、長い歴史を持つ有名な国際ウイルス作成者グループ29Aによって開発された悪質プログラムであることが明らかになったのです。

後になってわかったことですが、メールの差出人は他にも数社のアンチウイルス企業にこのウイルスを送っていました。が、あまり関係なかったようですね。このファイルが何なのかを解明できたのは当社だけでしたから。

それで、その後どうなった?

最初の解析で、テストにはSymbian搭載スマートフォンが1台ではなく2台必要であることが判明しました。CabirはBluetooth接続を利用してスマートフォンからスマートフォンに感染するからです。そこで、ウイルスを1台目のスマートフォンにコピーして、もう1台でBluetoothを検出可能モードでオンにしたところ、ファイルの受信要求が一瞬で2台目に表示されました。ファイルを受信して実行すると、2台目のスマートフォンは近くのBluetooth対応デバイスを自動的に検索し始めました。これで、このウイルスがBluetoothを介して拡散することを確認できました。そこで、私たちはプレスリリースを出して、初の携帯電話ウイルスが現れたことを世界に伝えたんです。でも、それは始まりにすぎませんでしたね…

このウイルスと、後から出てきた変種が持つこの機能のせいで、オフィス内での業務に大きな問題が発生したんです。何しろ、私たちは隔離された場所ではなく、通常のオフィス環境にいましたから。他の社員が自分のNokiaスマートフォンで、このファイルの受信を許可してしまうかもしれない。私たちは同僚を感染の危機にさらすところだったんです!そこで、モバイルマルウェアの実験を安全に行えるように、鋼鉄で覆われた特別な部屋を用意することになりました。

その部屋は携帯電話の電波がまったく届かず、あらゆる通信が遮断されていました。すべてはウイルスが部屋の外に広がるのを防ぐためです。後になって、この部屋にはモバイルウイルスのテスト以外にも使い途のあることがわかりました。報道関係者が関心を示したもので…よく記者たちに部屋の中を見せたものです。今ではモバイルマルウェアの状況がすっかり変わって、Cabirのような昔ながらのタイプのマルウェアは姿を消したので、こんな部屋はもう必要なくなりました。記者たちはがっかりでしょうが(笑)

このマルウェアは、あるウイルス作成者グループによって開発されたとのことだが、そのグループについて詳しく教えてほしい。

史上最も有名なウイルス作成者グループです。他に類のない先進的なウイルスを数え切れないほど開発してきました。世界各国のウイルス作成者が参加していて、メンバーは一定していなかったけれども、スペイン人とブラジル人から成る中核的メンバーはずっと在籍していました。Cabirを作成したのはその1人で、名前は確か、Vallezだったと思います。29Aというグループは、現在の基準で考えると、サイバー犯罪者集団ではありません。新しいウイルス技術のテストと実証のためにマルウェアを開発するウイルス作成者たちでした。つまり、個人的な利益のためではなく、信条に基づいて活動していたのです。29Aは多くの点で先駆者でした。初のマクロウイルスを開発したのも、Windows 64プラットフォーム向けのウイルスを初めて開発したのも、彼らです。29Aが開発したものはすべて画期的で、後に他のウイルス作成者に使用され、さらにその後サイバー犯罪者に利用されました。ここで思い出してほしいのは、当時(2004年)はサイバー犯罪者というものが登場し始めたばかりだったということです。当時のウイルスプログラムの大半は、スリルだけを求めて作成されていました。作者たちがやろうとしていたのは…「自己表現」です。

29Aは2009年まで存続していましたが、解散前には活動を大幅に縮小していました。一部のメンバーはスペイン、ブラジル、チェコ共和国で逮捕されましたが、他のメンバーは今もマルウェアの作成を続けています。なぜわかるのかというと、よく知っているコードを、要は彼らの筆跡や指紋のようなものを、今でも見かけるからです。

– Cabirの変種が登場したという話があったが、Cabirはどう進化したのか?

Cabirを生み出したA29は、高度な技術だけでなく、独自のオンラインマガジンを発行していたことでも知られていました。Cabirの発見から数か月後、彼らはこのワームに関する情報と合わせて実行コードの一部を公開したので、しばらくしたらCabirの変種が毎週のように現れるようになりました。ところで、1人、功名心が異常に強いウイルス作成者がいて、Cabirの変種を何度もうちの会社に送りつけては、別の名前を付けるように要求してきまして。この男は何度も何度も…1年にわたってですよ!…変種を送ってきて、何とかモバイルウイルスの歴史に名を刻もうとしていました。最終的に、彼の望みどおりになりましたよ。送られてきた変種のうち1つを、別のファミリーに分類したんです。そうせざるをえなかった、という感じですかね。

– F-SecureCabirウイルスの深い繋がりというのは?

Cabirは、小規模ながらも興味深い、のちのち語り継がれる大流行を引き起こしました。ある陸上競技の大会が2005年にフィンランドで開催されたときのことです。スタジアムは世界中から集まった観客でいっぱいでした。そこで、です。Cabirが被害を及ぼす範囲は、一般的にいって非常に狭い。Bluetoothの通信距離はわずか20m程度です。でも、満員御礼のスタジアムではどうか?さらに厄介なことに、Nokiaはフィンランドのメーカーだから、Nokiaの携帯電話を大勢の人が使っている。当然、Cabirは簡単にスタジアムへ入り込みました。何万人という観客の中の1人がポケットに入れた携帯電話に潜んでいたんです。

アスリートたちがトラックを駆け抜けている間ずっと、Cabirウイルスもスタジアム中を駆け巡っていたわけです。話が繋がらない?まあまあ、聞いてください。とにかく、CabirはBluetooth経由で、スタジアムにいたF-Secure社員のポケットに入っている携帯電話に感染しました(Bluetoothで送られてきた不明なファイルをなぜ受け入れたのか、謎ですが)。数日後、F-Secureは何ともタイミング良く、スタジアムにBluetoothスキャナーを設置することを申し入れたんです。携帯電話がCabirに感染していないか、観客がチェックできるようにするため、ということで。これがCabirとF-Secureの繋がり、というか、からくり?です。

– CabirBluetoothによる増殖以外に何をするのか?

直接的な金銭被害という意味では、何もありませんでした。Cabirは、短時間(2~3時間)でバッテリーを使い果たします。Bluetoothの接続先を探し続けると、バッテリーを大量に消費するので。金銭被害という点では、後に登場したモバイルウイルスの方が、はるかに被害が大きかったですね。自分自身を転送するだけでなく、MMSをプレミアム回線で送っていたので。たとえば、Cabirの後に登場した有名なウイルスComwarioは、とあるスペインの街で大流行し、何百万ユーロもの損害を発生させました。

今回は、特定のモバイルの脅威について、拡散の手段や、背後にいたグループについて話している。だが、当時のモバイルプラットフォームの保護という点については触れていない。対抗手段は本当に何もなかったのか?

そんなにひどい状況ではありませんでしたよ。Cabirが発見される前にも、Palm OS(Palm PDA)を狙うウイルスが確認されていたので、このプラットフォーム向けの保護製品は多くのアンチウイルス企業が開発済みでしたし。しかし、だんだんと熱が冷め、新種のウイルスが現れなくなり、多くの人がPalm OSウイルスとその対策について考えるのをやめていきました。(Palm製品はスマートフォンではなかったし、圧倒的に普及していた携帯電話ほどの人気がありませんでした。)でも、Cabirが見つかったことで、私たちは過去に学んだことを思い出し、それに改良を加えて、すぐにモバイルプラットフォーム向けのアンチウイルス製品を市場に出したのです。それ以来、新たなモバイルウイルスが次々と登場していますが、私たちもモバイルセキュリティ製品の改良と更新を続けています。「対抗手段が何もなかったか」という質問でしたっけ?いやいや!

Cabir: the world's first malware for smartphones (infographic)

コメントを読む 0
コメントを書く