　同じ微生物による分解作用でも、人間にとって役に立つものなら「発酵」、有害なものならば「腐敗」と呼ばれます。同様にサイバーセキュリティの領域では、アクセス可能なポートや脆弱性を探るという同じ行為でも、外部の悪意あるユーザーが行うものは「攻撃前の偵察行動」と見なされるのに対し、正しい権限を持ったユーザーが戸締まり確認のために行えば「セキュリティ検査」となるでしょう。

写真はイメージです

　さて、脆弱性の有無を検査した上で、バックドアなどをインストールして悪用するのはマルウェアやbotです。ならば、脆弱性がある機器に自動的にパッチを適用したりして修正するマルウェア（プログラム）はどのように捉えられるべきでしょうか。

　米国で8月に開催されたハッキングカンファレンス「DEF CON 26」のIoT Villageで、マット・ウィクシー氏（英PwC サイバーセキュリティ実践部門）が行ったプレゼンテーションでは、学術的な見地から、そんな思考実験が提案されました。

たびたび繰り返されてきた攻撃者同士の抗争

　サイバーセキュリティの世界では、「攻撃」対「防御」の対比で物事が語られがちです。しかし攻撃者といっても一枚岩ではなく、時に利害が対立し、互いに攻撃し合うこともあります。

　特に、金銭目的でDDoS攻撃を実行する攻撃者の間では、何度か勢力争いが発生してきました。例えば、Windowsの脆弱性を悪用するワーム「Zotob」がbotネットを構築していたところに、同じ脆弱性を悪用するマルウェア「IRCBot」が登場し、Zotobを駆除した上で自身をインストールさせてbotネットを乗っ取る、といった具合です。

　ウィクシー氏はこれを「Worm」（ワーム：プログラム単体で感染・破壊行為を行うマルウェア）と「Nematode」（直訳すると『線虫』、意訳すれば『アンチワーム』となるだろう）の争いと表現し、ネットワークの黎明期から見られた現象だと説明しました。その歴史は古く、1970年代、ARPANET（国防総省の軍事ネットワーク）経由でTENEXシステムに感染した「Creeper」と、それを削除する「Reaper」に始まり、80年代には「Brain」ウイルスとそれを破壊する「Denzuko」が存在したといいます。

　その後インターネットの普及に伴い、ワームの存在も一般化しました。例えば2004年には、「NetSky」「Bagle」「MyDoom」という3種類のワームとその亜種が登場して猛威を振るった（しかもその結果、多くの一般ユーザーに被害が出た）ことを覚えている方もいるでしょう。セキュリティ企業の調査によると、これらワームの作者は、ソースコードの中で互いを罵倒し合っていたといいます。

　そして、こうした抗争の最も新しい例が、IoT機器・組み込み機器をターゲットにした「Mirai」と、それを駆除する「Hajime」だとウィクシー氏は説明しました。

善意のアンチワームが流通したこともあったが……

　過去のワーム間抗争は、もっぱら、攻撃者が自らの勢力範囲を広げるために繰り広げられてきました。けれど仮に、ただ脆弱性を見つけ、修正するだけだったらどうでしょう。セキュリティ担当者が手動でスキャンするより、ワームのように自律的に脆弱性を探してくれるほうが効率的に対策できるのではないか、そんな考えに基づいた研究が行われたこともあります。

「善意のアンチワーム」の例

　　　　　　 1|2|3 次のページへ