マルウェア作成キットの歴史~過去から現在へ(上) - VCLからクルニコワまで

筆者オススメのセキュリティ本はコレ!

この年末年始は実家で過ごした。ふだん、筆者はテレビをあまり見ない。見るのはニュース程度である。しかし、実家に滞在している間は紅白歌合戦を見ながら親父と兄と酒を酌み交わし、箱根駅伝の中継を見ながら各校のランナーの駆けていく姿に胸を熱くしたのであった。いたって平凡な正月の過ごし方をしたせいか、若干重めの正月ボケから目下、復旧中である。きっと本稿が公開されるころには元気になっているハズである。

正月明けから早々にしたことは、購入した本を読むことである。積読状態のものが多いという理由もある。前にも書いたが、筆者は乱読主義なので、本のカテゴリはあまり気にせず、本業とは関係のない本を読むことが最近は多い。しかし今回読んだ中で、情報セキュリティ関係の本が一冊だけある。『有害プログラム』である。情報セキュリティ大学院大学の内田先生と、現マイクロソフトのChief Security Advisorの高橋さんが上梓された一冊である。マルウェア一般を総称して「有害プログラム」と呼称し、それらがどのように跳梁するようになったのかを歴史的な側面を踏まえて整理されている。このような歴史的な積み立てのある日本語の文献は、実のところあまり他に類のないものではないかと思う。こう申し上げるのも僭越で失礼やもしれぬが、すばらしい一冊である。

最初のマルウェア作成キット"VCL"

実のところ、この本を読んでいて懐古の情が湧いてきた点がある。それは「マルウェア作成キット」である。筆者が情報セキュリティ業界に身を投じた当初、こうしたソフトウェアによって作成されたメール添付型のマルウェアが大規模な感染を引き起こしていたのだった。そしてこの年末に、マルウェア作成キットに関連するニュースを目にしたことを思い出したのである。

前掲書によると、最初のマルウェア作成キットは1992年に公開された「Virus Creation Laboratory(VCL)」であるという。VCLはプルダウンメニューから用意されたオプションを設定し、最終的にアセンブラで記述されたマルウェアのソースコードを出力するものであったという。

さらには「Phalcon/Skism Mass-Produced Code(PS-MPC) Generator」も同年公開された。PS-MPCは「Phalcon/Skism」という米国のウイルス開発チームのメンバーである"Dark Angel"によって作成されたという。PS-MPCはVCLのようなGUIは持たず、設定ファイルを編集することによってアセンブラで記述されたマルウェアのソースコードを出力するものであるという。これらについては洋書『The Art of Computer Virus Research and Defense』が詳しい。

マクロウイルスの出現とマルウェア作成キットの関係

前掲書「有害プログラム」によると、1995年8月、最初のマクロウイルスである「Concept」が発見されたという。そしてこの発見以降、これまでアセンブラの理解が必要であったマルウェア作成のひとつの障壁「低級言語の理解」が取り払われたことで、高級言語によるマルウェア作成という、これまで以上のマルウェア開発の余地が生まれたことになったとか。

事実、マクロウイルスの生成を可能とするマルウェア作成キットも存在している。一例として「Mini Ultras Construction Kit」を示そう。Mini Ultras Construction Kitは、1998年ごろに公開されており、ウイルス対策ソフトを停止させる機能を持ったWordマクロウイルスを生成することができる。

この「黒背景と火文字」に一抹の懐古の情を覚えるとするならば、きっとあなたは情報セキュリティに10年近く前から関わったことのある、あるいは興味を覚えていた人に違いない。

クルニコワ・ウイルス

さて、マルウェア作成キットの存在が世界的に知られる契機となった事件と言えば、2001年の通称「クルニコワ・ウイルス」の蔓延である。この電子メール添付型のマルウェアの作成により、保護観察処分を受けた当時20歳のオランダ人青年の使用したツールが「VBS Worm Generator」である。アルゼンチン在住で「[K]Alamar」と名乗る人物によって作成されたといわれている。そしてこのクルニコワ・ウイルスの登場以後、しばらくの間はこうしたVBScript形式のマルウェア作成キットを使用したと思しき模倣マルウェアが出回ることとなった。