1988年11月2日T1
モリスワーム ── インターネット史上初の大規模感染事件
1988年11月2日夜、 コーネル大学院生 Robert Tappan Morris が公開したワームが、 sendmail・fingerd・rsh の脆弱性を連鎖的に突きながら自己複製し、 当時のインターネット約6万台のうち推定6,000台(約10%)を機能停止に追い込んだ。 自己複製のフォーク率設計ミスにより、 1台のホストで複数プロセスが暴走、 ネットワーク全体が事実上停止。 翌1989年、 Morris は1986年制定の Computer Fraud and Abuse Act(CFAA)違反で起訴された米国初の人物となり、 1990年に有罪判決を受ける。 この事件は DARPA に CERT/CC(Coordination Center)の創設を決断させ、 セキュリティインシデント対応という分野そのものの起点となった。
メタデータ
- 日付
- 1988年11月2日
- 年代
- 1980s
- Tier
- T1
- 参照年表
- サイバーセキュリティの歴史
- 出典数
- 05
- 関連項目
- 00
モリスワーム ── インターネット史上初の大規模感染事件
1988年11月2日18時ごろ(米東部時間)、 マサチューセッツ工科大学(MIT)の AI 研究所のマシン prep.ai.mit.edu から、 1本のプログラムがインターネットへ放たれた。 99 行の C コードを核に持つこのプログラムは、 数時間のうちに当時の全インターネットの約 10% ── 推定6,000台のホスト ── を事実上停止させた。 作者はコーネル大学のコンピュータサイエンス大学院生 Robert Tappan Morris、 当時23歳。
これが「Morris Worm(モリスワーム)」、 インターネット史上初の大規模ワーム感染事件である。
何が攻撃ベクトルだったか
ワームは BSD 系 UNIX 上の3つの既知の弱点を連鎖させた。
- sendmail の DEBUG モード: 当時の sendmail(メール配送デーモン)はデバッグ用にリモートからのコマンド実行を許す DEBUG モードを持っていた。 多くのベンダー出荷時設定でこれが有効のまま残っていた。
- fingerd のバッファオーバーフロー:
fingerデーモンのgets()呼び出しに長さチェックがなく、 スタックを上書きして任意コードを実行できた ── 公開された初期のバッファオーバーフロー実用例の一つ。 - rsh / rexec の信頼関係:
.rhostsで互いを信頼するホスト間で、 パスワードなしでコマンド実行が可能。 加えてワームは弱いパスワード(432語の内蔵辞書 +/etc/passwdから派生した候補)で総当たりも試みた。
侵入に成功すると、 ワームは小さなブートストラップ(grappling hook)を送り込み、 続いて本体バイナリ(VAX 用と Sun-3 用の両方)をコピー、 実行を開始する。
設計ミスがもたらした「ネットワーク停止」
Morris の意図は、 ワームの規模をひそかに観測する小さな実験だったとされる。 ただし設計上、 同じホストにすでに自分が存在するかを確認し、 存在すれば停止するロジックが入っていた ── これだけだとセキュリティ研究者が偽の「存在」シグナルを返すだけで全停止できてしまう。 そこで Morris は 7 回に 1 回は確認を無視して感染を続行する という保険を入れた。
しかしこの「7 分の 1」が大きすぎた。 結果として、 1台のホストに数十〜数百のワームプロセスが共存し、 CPU・メモリ・プロセステーブルを食いつぶした。 多くのサーバが応答不能になり、 ネットワーク全体が事実上ダウンした。
被害の規模は、 GAO(米国会計検査院) の事後試算で 1,000万〜1億ドル相当の損失 とされた。
法的帰結 ── CFAA 初の有罪判決
Morris は1989年7月、 1986年に成立したばかりの Computer Fraud and Abuse Act(CFAA) 違反で起訴された ── 同法による起訴・有罪判決の第一号となる。 1990年1月、 連邦地裁は有罪を認定。 量刑は懲役3年の執行猶予、 罰金1万50ドル、 社会奉仕400時間。 控訴審 United States v. Morris(928 F.2d 504, 2d Cir. 1991)でも有罪は維持され、 「権限なくアクセスした(accessed without authorization)」という CFAA の文言の初期解釈を確定させた判例として現在も引用される。
Morris 自身は学界へ戻り、 後にスタートアップ Viaweb を共同創業(1998年に Yahoo! が約4900万ドルで買収、 Yahoo! Store となる)、 MIT 教授に就任、 Paul Graham と Y Combinator を共同創業した。
CERT/CC の誕生
事件直後の1988年11月、 DARPA は SEI(カーネギーメロン大学 ソフトウェア工学研究所) に CERT/CC(Computer Emergency Response Team Coordination Center) の設立を委託した。 目的は、 同種の事件で組織横断的に情報を集約・配布する公的な「窓口」を作ること。 CERT/CC はその後、 脆弱性アドバイザリ(CERT Advisory)、 CVE 番号制度(後に MITRE が運営)、 各国の national CSIRT 群といった現在のセキュリティ・エコシステムの原型を作った。
Morris ワームがなければ「インシデント対応」という職能そのものが今と違う姿になっていた、 と言える。
残したもの
技術的には、 Morris ワームは複数の教訓を一度に与えた ── (1) バッファオーバーフローは現実の攻撃手段である、 (2) 「デバッグ用」の隠し機能は出荷時設定として残ってはならない、 (3) パスワードの辞書攻撃に対する防御は必須、 (4) 自己増殖プログラムは設計者の意図に反して暴走する。
社会的には、 これがインターネットを「研究者間の善意のネットワーク」から「悪意もまた流通するインフラ」へと不可逆に変えた事件である。 1988年以前のインターネットには、 ファイアウォール、 侵入検知、 セキュリティ監査、 CVE、 SOC ── 現代のセキュリティ業界を構成するほぼすべての概念が、 まだ存在していなかった。 1988年以後、 それらが必要になった。
サイバーセキュリティの歴史を書くなら、 第一章は 1988 年 11 月 2 日のこの夜から始まる。