CIHから27年、PC物理破壊マルウェアが消えた本当の理由
27年前の昨日、わずか1KBのコードが世界中で数十万台のPCを使用不能にした。データを消すだけでなく、BIOSチップごと焼損させる稀有なマルウェア、CIHだ。現代マルウェアは進化したが、PCを物理破壊する手口は逆に消えかけている。
1KBのコードが起こした「ハードウェア破壊」
1999年4月26日、台湾の大学生が書いたわずか1KBのウイルスがWindows 9x環境で発作を起こした。CIHは数十万台のPCのハードディスク先頭を0埋めし、マザーボードのBIOSチップにゴミデータを書き込んだ。BIOSが破壊されたPCは電源すら入らなくなり、復旧にはチップ交換かマザーボード自体の交換が必要だった。
被害規模については情報源によって乖離が大きい。英語版Wikipediaが記録する被害額は2億5000万ドル超、感染が確認されたPC数は最大6000万台、実際に発作で破壊されたPC数は数十万台と推定される。これはメリッサや後のILOVEYOUと並ぶ、当時としては最悪規模のサイバー被害だった。
|
被害額
2.5
億ドル超
米ドル換算
世界全体 感染確認PC
6000
万台(最大)
ファイル感染
世界全体 物理破壊PC
数十
万台
ペイロード発動
BIOS書換 |
CIHを書いたのは台湾の大同大学情報工学科二年生だった陳盈豪(Chen Ing-hau、当時23歳)。彼は供述で、アンチウイルスソフトの広告が誇大であることを証明したかったと述べている。
純粋にアンチウイルスソフトの誇大広告を覆したい好奇心からCIHを製作した
学内実験のつもりが、クラスメートの感染PCがインターネットや海賊版ソフト経由で世界に拡散した。
「チェルノブイリ」の名は誤解の産物だった
このウイルスが「チェルノブイリ」と呼ばれるようになったのは、発作日の4月26日が1986年のチェルノブイリ原子力発電所事故の日と重なっていたからだ。
ところが日本語版Wikipediaや当時のセキュリティ研究機関の記録を読むと、まったく別の事実が浮かび上がる。
陳自身はCIHをチェルノブイリ原子力発電所事故と関連させる意図はなく、名称も陳の英語名のイニシャルから名付けられた
トリガー日付の4月26日は陳の誕生日だった、あるいは学生時代の座席番号に由来するという説が陳本人の弁明として残っている。「チェルノブイリ」というあだ名は、ニュース記事のドラマ性のためにメディアが付けたものに過ぎない。3文字の頭文字より、世界史的災害になぞらえた呼び名のほうが見出しとして強い。技術史を語るとき、現実より修辞のほうが先に走ることがある。CIHはその古い実例だ。
「空隙に潜む」という設計思想
CIHが当時の対策ソフトをすり抜けた仕組みは、いま読んでも悪い意味で美しい。Windowsの実行ファイル(Portable Executable、略称PE)はセクション間にアラインメントのための空き領域を持つ。CIHはそこを舐めるように探し、自分のコードを細切れにして詰め込んだ。
感染してもファイルサイズが変わらない。当時のアンチウイルスはファイルサイズの変化やハッシュ照合に頼っていたため、CIHはその検査をすり抜けた。1KBという極小サイズは、この「空隙詰め込み」を可能にする物理的条件でもあった。
実行されるとリング3(ユーザー空間)からリング0(カーネル空間)に特権昇格し、ファイルシステムのAPIをフックして、開かれた実行ファイルに次々と感染する。Windows 95、98、Me系列のOSの構造的な脆さを突いた手口で、Windows NT系列は最初から無関係だった。
商業流通から感染した「正規ルート」のPC
CIHの拡散経路は海賊版ソフトだけではない。1999年3月、CIH発作のわずか1か月前にIBMのAptivaシリーズの一部出荷分にCIHがプリインストールされていた。ヤマハはCD-R400ドライブのファームウェア更新ファイルにCIHを混入させて配布した。同年7月のセキュリティカンファレンスDEF CON 7で配布されたBack Orifice 2000のCDも感染していた。
つまり、当時のユーザーはこのウイルスから自衛できなかった。海賊版に手を出さずメーカー製PCを買っても、ファームウェアを公式更新してもCIHが入ってきた。サプライチェーン汚染という言葉が一般化する20年以上前に、すでに同じ構造が起きていた。
ハードウェア破壊の条件は意外に狭かった
CIHのBIOS破壊が成立したのは、Intel 430TXチップセットなど、フラッシュメモリへの書き込み保護が無効になっている古い構成だった。当時すでに新しいチップセットでは保護が入りつつあり、BIOS破壊まで至ったPCの割合は実際には限定的だったと記録されている。
それでも被害が「BIOS焼損」というインパクトで語り継がれているのは、ハードドライブのデータ消去だけなら復旧の余地があるのに対し、BIOS破壊だけは物理交換しか手段がないからだ。ROMチップを取り外して差し替える、あるいはマザーボードごと買い替える。データを上書きされただけなら手元のソフトで対処できるが、ハードウェアの一部が壊れたら工具が必要になる、その違いが当時のユーザーに強い記憶を残した。
CIHの大量感染事件は1995年以降のインターネット普及期において、コンピュータウイルスのパンデミック事例の中でも最も深刻なペイロードの一つとして記録されている
法整備が後を追った
陳は1999年4月30日、警察に身元を特定された。だが当時の中華民国刑法にはコンピュータ・ウイルス製造を処罰する条文がなく、被害者からの直接告訴もなかったため、刑事事件として立件されなかった。
この事件をきっかけに台湾は2003年6月25日、刑法に「妨害電腦使用罪」を追加した。法律が技術の後を追って整備された典型例で、これは当時の世界各国に共通する現象だった。
陳自身はその後、Linuxディストリビューション「XLinux」を販売する企業に就職し、2000年にはCIHのワクチンプログラム「AntiCIH」を自ら作成して無償配布している。罪状こそ問われなかったが、技術的な償いはした人物だ。
|
1998年6月
CIH、台湾で発見
大同大学の学生だった陳盈豪が学内実験として作成。クラスメート経由で外部に漏出。
1999年4月26日
世界規模の発作
ハードディスクとBIOSを書き換えるペイロードが発動。アジアと中東を中心に大量被害。
1999年4月30日
作者の身元特定
台湾警察が陳盈豪を特定。ただし当時の刑法に該当条文がなく、刑事立件は見送り。
2000年
陳盈豪が「AntiCIH」を無償配布
本人がワクチンプログラムを作成しインターネットで公開。技術的な償いを実施。
2003年6月25日
台湾、刑法に「妨害電腦使用罪」追加
CIH事件を契機にコンピュータ犯罪を処罰する条文が新設。法整備が技術の後を追った。
|
現代マルウェアが「物理破壊」を捨てた理由
ここからが本題だ。CIHから27年経って、PC本体を物理破壊しようとするマルウェアはほぼ絶滅した。代わりに何が増えたか。情報窃取と永続化だ。
UEFIマルウェアの最新事例として知られるMosaicRegressorやLoJaxは、UEFIファームウェアに居座って、OSを再インストールしてもPC内に常駐し続ける。目的はPCを壊すことではなく、OS再インストールでも消えない監視拠点を作ることだ。被害者のPCは「動き続けている」ほうが攻撃者にとって価値が高い。
| CIH (1998) |
LoJax (2018) |
MosaicRegressor (2020) |
|
|---|---|---|---|
| 主目的 | 物理破壊 | 情報窃取・永続化 | 情報窃取・永続化 |
| 攻撃対象 | BIOSとHDD | UEFIファーム | UEFIファーム |
| 被害者の状態 | 起動不能 | 監視継続 | 監視継続 |
| 攻撃者の利益 | なし | 諜報情報 | 諜報情報 |
経済合理性で見ると、ハードウェアを壊しても攻撃者には1円も入らない。しかし永続化に成功すれば、認証情報、暗号通貨ウォレット、企業ネットワークへの足がかりがすべて手に入る。ランサムウェアは暗号化解除と引き換えに金銭を要求するし、情報窃取型は売買市場に流せる。「壊す」よりも「奪う」「乗っ取る」ほうがはるかに利益率が高い。
CIHの破壊性は、皮肉にも当時のサイバー犯罪が金銭目的で組織化される前の、純粋な技術的好奇心の産物だった。陳の動機が「アンチウイルス業界の誇大広告への抗議」だったことは、現代の経済合理的な攻撃者像とまったく異なる。
いまPCを物理破壊することは技術的に可能か
可能だ。だがハードルは当時より格段に高い。現代のマザーボードはBIOS書き込み保護、デュアルBIOS、署名検証付きフラッシュ更新など、複数の防御層を持つ。Secure Bootとハードウェアベースのセキュアブート機能を組み合わせれば、ファームウェアレベルの不正書き換えはほぼブロックできる。
それでも国家レベルの攻撃者なら可能性はある。実際、UEFIマルウェアの多くは政府関連のサイバー諜報部隊に紐づくと指摘されている。ただし彼らも標的を物理破壊するより、永続的に監視する道を選ぶ。物理破壊は最後の手段、それも特定の標的に対して使う「武器」として温存されている。
CIHが27年前に示したのは、1KBのコードでも世界規模の物理被害を起こせるという衝撃だった。現代の攻撃者がそれをやらないのは、できないからではなく、やる価値がないからだ。技術は進化したが、破壊への動機は経済合理性に置き換わった。それが進歩なのか、それとも別種の冷たさなのか、判断は分かれるところだ。
陳が動機として語った「アンチウイルス業界の誇大広告への抗議」は、いまも形を変えて続いている。ゼロデイ脆弱性が日々発見され、セキュリティ製品の検知率は永遠に追いつかない。CIHが27回目の発作日を迎えた昨日4月26日は、偶然にも日曜だった。誰のPCも壊れなかった。だがその「壊れない」を支えているのは、ハードウェア保護機構と、攻撃者が金銭を選んだという市場の現実、その両方なのかもしれない。
参照元
関連記事
- Windows 95で動くWSL、独立開発者が公開
- Windows 11 24H2偽更新サイト、検出ゼロのマルウェア配布
- 「買ったのは250K、表示は270K」中華で「錯版U」騒動
- CPU-Z・HWMonitor、公式サイトからマルウェア配布
- Windowsセキュリティに「セキュアブート」警告が表示される理由と、6月の期限前に知っておくべきこと
- Windows 11のセキュアブート更新が失敗する――CA-2023が暴いたファームウェアの構造的欠陥
- RTX 4090偽造、ついに分解しても見抜けない段階へ
- パッチでは消えないバックドアFIRESTARTER、米Ciscoに潜伏
- アンインストーラがExplorerを自滅させた真相
- Windows 11、セキュアブート証明書の更新状況を可視化へ
