インターネットワームが20才の誕生日を迎える

　11月最初の週末には、初めて本格的にワームがインターネット上を伝搬した日から数えて20周年の記念日を迎える。長い月日が経ち、基礎となるメディアは変わったが、今でもワームは大惨事を引き起こし、システム管理者を夜更かしさせる力を持っている。今日のワームが引き起こすダメージは、はるかに見えにくくなっており、ずっとニュースにはなりにくくなっているが、過去のものよりもはるかに修復しにくくなっている。

　1988年11月2日、Robert Tappan Morris氏はインターネット上のシステムの数を数えるために設計されたと言われるアプリケーションを実行した。このアプリケーションは、いくつかの脆弱性を悪用してUNIXシステムの間を伝搬して回るように設計されていた。その脆弱性には、rサービス（rlogin、rsh、rexec）の認証コネクションの基本的な考え方に存在していたセキュリティホール、Sendmailの古いリモートデバッグ機能、fingerデーモンのバッファオーバーフローがあった。設計上の欠陥により、このワームは必要とされるよりもはるかに広く伝搬しようとし、目標となったマシンに資源不足を引き起こし、実行速度を劇的に低下させた。その後のことを簡単に説明すると、Morris氏は捕まり、有罪となり、保護観察とコミュニティサービスの刑を言い渡された。

　その後長い間、非常に目に見えやすいワームが続いた。MelissaやI Love YouなどのWindows PCで標準的なソフトウェアを攻撃したウィルスの古典的なヒットは忘れられないし、Windows Server向けのCode RedやSQL Slammerも同様だ。これらのワームは、こういうものが作れるということを証明するためにのみ作られた。これらのワームは、それが存在するということ以外には何の目的もなかった。これらのワームがネットワークとシステム上で作り出した負荷によるダメージは、技術的なフォーラムだけではなく普通の新聞でもニュースになった。

　ところが、今日のワームは自らの存在を知らせる必要を感じておらず、それらのワームの作者も目立ちたいとは考えていない。それらの作者がワームに望むことは、金を作ることだけだ。現代のワームの作者は利用できるあらゆるトランスポートメカニズムを使い、オーソドックスなハッカーが持っている、オペレーティングシステムやプログラミング言語に対する宗教的な壁を超える。それらのワームは例えばFacebookのメッセージをおとりとして使い、ユーザーをGoogleのような正規のサイトから別のサイトへリダイレクトし、それらのユーザーを最終的に動画に見せかけたマルウェアに到達させ、またもう1つのデスクトップを感染させて再感染の手順を再びスタートさせるという最終的な目標を果たす。そのメッセージがそれらのサーバーから一掃されても、何万ものデスクトップが感染したまま残され、疑っていないユーザーから入手したキー入力の記録やクレジットカード番号を送信する。

　20年前、われわれは希有な伝染病を経験し、何千ものサーバーが障害を受け、多くの経験を積んだシステム管理者がその問題を修正するのに長時間奔走するという状況は、歴史的な出来事となった。今日では、感染は頻繁に起こっている。何百万もの感染したデスクトップがあり、まったく状況を解決する準備のできていない家庭ユーザーがいて、電子的な金融詐欺によって財産が失われている。そして、これはあまりにも頻繁に起こっているため、ニュースにする価値さえなくなっている。その結果、ニュースを目にすることのなくなった平均的なユーザーはより安全に感じ、金銭的なリスクの観点からは以前よりもはるかに悪い状況になっていることに気付かないでいる。

　最後に、もう1つ別の話題に触れておきたい。刑事司法制度は20年前にRobert Tappan Morris氏を厳しく罰することもできたが、そうしなかった。Morris氏はMorris博士になり、MITの教授であり前途有望な新興企業を助けるベンチャー企業インキュベーターであるY-Combinatorの共同設立者となった。裁判を受ける人のすべてにこの水準の成功を手にする能力があるわけではないものの、Morris氏と同じ状況になったティーンエイジャーや大学生のすべてが救いようのない者たちであり、社会への貢献を許すべきではないと考えるのは間違っている。それらの子どもたちがよい方向に導かれた時、その個人と社会の技術の未来がどうなるかは誰にも分からない。