Overview
ワーム(Computer Worm)とは、ネットワークやリムーバブルメディアを介して自動的に自己複製し、他のコンピュータへ拡散するマルウェアの一種です。ウイルスとは異なり、宿主となるファイルを必要とせず、単独で動作・拡散できることが最大の特徴です。
ワームの歴史は1988年のMorris Wormに遡ります。コーネル大学の大学院生ロバート・モリスによって作成されたこのプログラムは、インターネットに接続された約6,000台のコンピュータ(当時のインターネット全体の約10%)に感染し、インターネットセキュリティの重要性を世界に知らしめました。その後、2001年のCode Red、2003年のSQL Slammer、2008年のConfickerなど、歴史的な大規模感染事例が続きました。
現代のワームは単なる自己拡散にとどまらず、ランサムウェアやスパイウェアのペイロードを搭載したり、ボットネットを構築したりするなど、複合的な脅威として進化しています。WannaCryはワーム機能を持つランサムウェアとして世界に衝撃を与えました。
Details
拡散メカニズム
- ネットワーク脆弱性の悪用:OSやネットワークサービスの脆弱性を自動的にスキャン・悪用して拡散する。パッチ未適用のシステムがターゲットとなる(例:EternalBlueを悪用したWannaCry)
- メール拡散:感染端末のアドレス帳を読み取り、自動的にワームを添付したメールを送信する。ILOVEYOUワーム(2000年)はこの手法で世界中に拡散した
- リムーバブルメディア:USBメモリやSDカードなどに自身をコピーし、別のコンピュータに接続された際に感染する。Confickerはこの手法も併用した
- P2P/ファイル共有:ファイル共有ネットワーク上に魅力的なファイル名で自身を配置し、ダウンロードしたユーザーの端末に感染する
- インスタントメッセージ:チャットアプリやSNSを経由して不正なリンクやファイルを自動送信する
歴史的なワームの変遷
ワームの歴史はインターネットの発展と密接に関係しています。1988年のMorris Wormは初のインターネットワームとして知られ、UNIX系システムの複数の脆弱性を突いて拡散しました。2001年のCode RedはIIS Webサーバーの脆弱性を悪用し、わずか14時間で35万台以上に感染。2003年のSQL SlammerはSQL Serverの脆弱性を突き、わずか376バイトのペイロードで10分間にインターネットトラフィックを大幅に増加させました。
2008年に登場したConfickerは、Windowsの脆弱性を悪用してピーク時には推定900万〜1500万台に感染しました。ドメイン生成アルゴリズム(DGA)を使用してC2通信先を動的に変更するなど、検知回避の技術も高度化していきました。
ウイルス vs ワーム vs トロイの木馬の違い
- ウイルス:宿主ファイル(実行ファイルやドキュメント)に寄生し、そのファイルが実行されると感染する。単独では動作できず、ユーザーのアクション(ファイルの実行や共有)によって拡散する
- ワーム:宿主を必要とせず、単独で動作・自己複製する。ネットワークの脆弱性を悪用して自動的に拡散するため、ユーザーのアクションを必要としない場合が多い
- トロイの木馬:正規のプログラムに偽装し、ユーザーを欺いてインストールさせる。自己複製機能は持たず、拡散にはソーシャルエンジニアリングが必要
現代のマルウェアはこれらの特性を複合的に持つことが多く、明確な分類が困難なケースも増えています。例えばWannaCryはワーム機能を持つランサムウェアであり、Emotetはトロイの木馬でありながらワーム的な拡散手法も使用しました。
ワーム対策の技術的アプローチ
ワームの拡散を防ぐためには、ネットワークレベルでの防御が特に重要です。IDS/IPS(侵入検知/防止システム)による不審なスキャン活動の検知、ファイアウォールによる不要なポートの閉鎖、ネットワークセグメンテーションによる拡散範囲の制限、そしてNAC(ネットワークアクセス制御)によるパッチ未適用端末のネットワーク接続制限などが有効な対策です。
Security Measures
- 01OSとソフトウェアの迅速なパッチ適用:ワームの多くはOSやネットワークサービスの既知の脆弱性を悪用して拡散します。セキュリティアップデートを迅速に適用し、脆弱性を解消してください。WSUSやSCCMなどのパッチ管理ツールを活用した一元管理が効果的です。
- 02ファイアウォールとネットワークセグメンテーション:不要なポートとプロトコルをファイアウォールで遮断してください。内部ネットワークもセグメント化し、万が一ワームが侵入しても感染範囲を限定できるようにしましょう。VLANやマイクロセグメンテーションの活用が推奨されます。
- 03IDS/IPSの導入:侵入検知システム(IDS)および侵入防止システム(IPS)を導入し、ワームの拡散パターン(ポートスキャン、エクスプロイトコードの送信等)をリアルタイムで検知・遮断してください。シグネチャと振る舞い検知の両方を活用しましょう。
- 04USBデバイスの制御:組織のポリシーとしてUSBメモリなどのリムーバブルメディアの使用を制限してください。デバイス制御ソフトウェアを導入し、許可されたデバイスのみ接続可能にすることで、リムーバブルメディア経由のワーム感染を防止できます。
- 05メールセキュリティの強化:メール経由で拡散するワームに対して、添付ファイルのフィルタリング(実行ファイルの遮断)、サンドボックスによる動的解析、SPF/DKIM/DMARCによる送信元認証を導入してください。
- 06エンドポイントの保護と監視:EDRソリューションを導入し、エンドポイントでの不審な挙動(大量のネットワーク接続試行、自己複製活動等)をリアルタイムで検知してください。自動隔離機能を有効にし、感染端末を速やかにネットワークから切り離せるようにしましょう。
Incidents
📋 Stuxnet — 史上初のサイバー兵器(2010年)
2010年に発見されたStuxnetは、イランの核燃料濃縮施設のウラン遠心分離機を物理的に破壊することを目的として開発された、史上初のサイバー兵器と呼ばれるワームです。USBメモリ経由で拡散し、WindowsのLNKファイルの脆弱性やプリントスプーラーの脆弱性など4つのゼロデイ脆弱性を同時に悪用する極めて高度なマルウェアでした。
Stuxnetはシーメンス社の産業用制御システム(SCADA)を標的とし、遠心分離機の回転速度を不正に操作して物理的な損傷を与えました。一方でオペレーターの監視画面には正常な数値を表示し、異常の発見を遅らせました。米国とイスラエルによる共同作戦とされており、サイバー攻撃が物理世界に直接的な被害をもたらすことを実証した画期的な事例です。
📋 WannaCry — ワーム機能を持つランサムウェア(2017年)
2017年5月に世界中で猛威を振るったWannaCryは、ランサムウェアとワームのハイブリッドです。NSAから流出したとされるEternalBlueエクスプロイトを利用し、Windows SMBの脆弱性(MS17-010)を突いてネットワーク経由で自動拡散しました。従来のランサムウェアはユーザーの操作(メール添付ファイルの開封等)を必要としましたが、WannaCryは脆弱なシステムを自動的に見つけて感染するワーム機能により爆発的に拡散しました。
英国のセキュリティ研究者マーカス・ハッチンスがキルスイッチ(停止機能)として機能する未登録のドメインを発見・登録したことで拡散が大幅に減速しましたが、この時点で既に150か国以上で23万台以上が感染していました。この事件はワーム機能がランサムウェアの破壊力を飛躍的に高めることを証明しました。
📋 Morris Worm — インターネット初のワーム(1988年)
1988年11月、コーネル大学大学院生のロバート・モリスが作成したMorris Wormは、インターネット上で拡散した初のワームとして知られています。このワームはUNIXシステムのsendmail、fingerd、rshの脆弱性を悪用し、当時のインターネットに接続された約60,000台のコンピュータのうち約6,000台(約10%)に感染しました。
モリスは拡散の実験を意図していたとされていますが、バグにより同一システムに何度も再感染する仕様となり、感染端末の処理能力を著しく低下させました。この事件を契機に、カーネギーメロン大学にCERT/CC(Computer Emergency Response Team/Coordination Center)が設立され、組織的なインシデント対応体制の基礎が築かれました。モリスはコンピュータ詐欺・濫用法(CFAA)で有罪判決を受けた最初の人物となりました。