第一章　ニムダ

　　　
　アシュクロフト米司法長官の記者会見の翌九月十九日、日本の農林水産省は、同省のコンピューターネットワークが新種のウイルスであるニムダに感染したと発表した。ニムダはW32/Nimdaと書く。名前を逆に読むと「admin （政府）2 （to）3W（第三次世界大戦）」となり、今回のテロや反米組織との関連があるのではないかとの指摘がなされたのだった。とはいえ、コンピューターウイルスやハッカーの名前によくある他愛もないゴロ遊びのようでもある。司法長官は直接の関連を否定した。しかし、連邦捜査局（ＦＢＩ）は捜査に着手した。
　
　農林水産省では、省内のサーバーの一部で不審なファイルが見つかり、メールやホームページの使用が停止された。サーバーとは、ネットワーク上で他のコンピューターや端末からの要求を処理するコンピューターやプログラムを指し、用途に応じて、メール・サーバーやファイル・サーバー、データベース・サーバーなどと呼ばれる。岡山にある中国四国農政局では、局内の情報通信ネットワークで、接続されている十二台のホストコンピューターのうち十台がニムダに感染した。
　米国での発生から八時間後には日本国内でも数カ所のウェブサイト（ホームページ）が感染していることが確認された。ニムダは感染スピードがきわめて速いのが特徴だった。
　国土交通省では、北海道開発局や関東地方整備局港湾空港部など十一の地方機関のパソコンやサーバーなど合計四十五台が感染し、サーバーが他のシステムから切り離された。
　厚生労働省では、所管の勤労者退職金共済機構と雇用能力開発機構、年金資金運用基金の三つの特殊法人で感染被害が見つかった。いずれも内部でネットワーク接続しているパソコンが感染していた。
　文部科学省関係では、財団法人地震予知総合研究振興会のホームページが運用されているサーバーが感染しているのが発見され、運用を一部停止した。
　財務省や内閣府などの省内ネットワークでもＬＡＮ（域内情報通信網）のサーバーや端末が十台から数十台感染し、それぞれ他のネットワークから切り離された。
　茨城県東海村に本社がある核燃料サイクル開発機構では、福井県や茨城県の四事業所内で合計四百六十七台の事務用パソコンが感染し、福井県敦賀市にある核燃料サイクル開発機構の新型転換炉ふげんの事務所では、端末として使用している約百台が感染した。
　
　被害は中央官庁だけでなく地方自治体にも広がっていった。
　九月二十日、神奈川県は県関係機関のパソコン二十一台がニムダに感染したと発表した。廃棄物対策課、平塚保健福祉事務所、寒川浄水場、県立座間養護学校で各一台のパソコンが感染した。寒川浄水場では、ファイルを共有するサーバーを介してさらに十七台のパソコンが感染し、外部への被害拡大を防止するため県のホームページ用サーバーとメール用サーバーに感染防止措置が取られた。
　同日、千葉県教育委員会は県立博物館に関するホームページがニムダに感染したため、一般からアクセスできないようにしたと発表した。
　このホームページは十ある県立博物館と教育委員会の合計十一カ所のネットワークになっていたが、三つのサーバーで感染が見つかった。十九日の夕方に市民からの連絡で感染が判明し、同日夜から公開を停止した。
　翌二十一日には、神奈川県平塚市が関連施設のパソコンなど計四十四台が感染したと発表した。市内の介護サービス事業所の情報を提供しているホームページのサーバー一台が感染し、さらに市内の三つの公民館のパソコン四十三台が感染した。
　茨城県庁では、職員が日常使っているパソコン約四十台が感染した。被害の拡大を防ぐため外部との接続が停止された。
　宮城県では、県議会事務局と県政情報公開室のコンピューターサーバー二台、土木部と県立大学のパソコン八台が感染した。感染したサーバーは被害が拡大しないようネットワークから切り離された。
　島根県では庁内ＬＡＮで結ばれた県庁と県の出先機関のパソコン二十台が感染し、情報政策課は職員に電子メールの送受信やインターネット接続を中止させた。
　佐賀県庁では、七十四台のパソコンの感染が判明し、感染するか感染の可能性のあるパソコンがネットワークから切り離された。
　群馬県では、県庁ＬＡＮで結ばれた四十三台のコンピューター端末が感染した。他に、同県内では、渋川市役所、境町、昭和村の役場で感染が報告された。
　兵庫県では、関連団体の生活復興県民ネットに設置されたサーバー二台が感染し障害が発生した。
　香川県では、高松市内の会社で感染報告がなされたため、安全が確認されるまで県庁からのインターネット閲覧機能を一時停止した。
　鹿児島県では、庁内ＬＡＮで結ばれている県庁と県の出先機関のパソコン二十六台が感染し、安全の確認ができないホームページの閲覧を控えるよう注意を呼びかけた。
　和歌山県本宮町役場では約百台のパソコンの大部分が感染し、被害は県内の自治体だけで数十にのぼるとされた。
　高知市議会では、議事録検索システム用サーバーが感染。十八日午後四時前からウイルスが活動し不正アクセスを繰り返していたことに、翌十九日午前に気づき、運用を停止した。
　福井県武生市役所の庁舎内ＬＡＮもサーバーに異常が見つかり、システムを停止した。
　岐阜県多治見市役所のパソコン約四十台も感染した。御嵩町役場のパソコン百数十台、外郭団体の財団法人岐阜県産業文化振興事業団のホームページもウイルスに感染した疑いがあった。
　他にも、栃木県庁、同県矢板市、三重県庁、石川県庁、岡山県庁、長野県庁と長野市のサーバー、富山県氷見市、北九州市、新潟県糸魚川林業事務所からも感染した旨の報告が寄せられた。
　
　大学や研究機関では、九月十九日、山梨学院大で職員が出勤して大学のインターネットのサイトを立ち上げたところ、不正なプログラムがダウンロードされ、パソコンが正常に機能しなくなったため、学外からサイトへのアクセスを遮断するとともに、学内のネットワークの使用を全面的に停止した。これは被害報告では最も早い段階のものの一つである。
　三重大学では翌二十日にパソコン十一台が感染した疑いのあることが判明した。点検のため、学内のパソコン約五千台についてインターネットの使用を一時停止し、大学のホームページを閉鎖した。
　他に感染報告がなされたところは、一橋大、京都大、名古屋大、中央大、同志社大、早稲田大理工学部、東京工業大、お茶の水女子大、広島大、東京外国語大、新潟大学、北海道大、秋田大、福岡教育大、放送大学学園などがあり、文部科学省への報告がなされたものでは国立大学だけで十九校、他に四つの研究機関が含まれていた。
　
　民間企業では、コンピューターウイルスに感染したことを知られると企業イメージに響くという配慮から感染事例が公になっているところは少ないが、マツダやベネッセコーポレーションが感染したことを公表し、トヨタ自動車は感染したホームページを閉鎖した。
　山梨県富士吉田市の都留信用組合ではホームページを閉鎖したため、インターネットを利用した決済や振り込み、残高照会ができなくなった。
　記事の出稿や配信でネットワーク化が進んでいるマスメディアも例外ではない。
　共同通信社では、英文ニュースの編集システムが感染し、「増殖するウイルスを駆除しながら編集作業を続けた」が、「ニュースの配信に影響は出なかった」とされた。
　名古屋市の中日新聞社では、制作部関係のコンピューターの一部で感染が確認された。
　毎日新聞社では、新聞に掲載された写真などを管理しているフォトバンクがウイルスに感染しているのが判明した。すぐに運用を停止し、外部への二次感染を防いだ。
　朝日新聞社では感染はなかったものの、インターネットで生活情報などを提供している朝日マリオン・コムを一時的に閉鎖した。
　
　コンピューターウイルスのターゲットになることが多いマイクロソフトでは、インターネット接続サービスであるＭＳＮ（マイクロソフトネットワーク）のサーバーが感染した。インターネットの利用者がこのトップページにアクセスすると、それだけでニムダに感染した。ＭＳＮのウイルスは一時間ほどで駆除されたが、一般ユーザーのニムダ感染はこのＭＳＮ経由の場合が圧倒的に多かった。
　
　そもそもニムダはマイクロソフト社のインターネット閲覧ソフトであるインターネットエクスプローラや電子メールソフトのアウトルックやアウトルックエクスプレスを標的にしていた。そのため、ウインドウズに対抗するアップル社のマッキントッシュなどは何の影響も受けていない。
　
　感染の仕組みはこうだ。
　インターネットエクスプローラでウイルスに感染したページを閲覧すると、ニムダはreadme.exeという添付ファイルを持つメールを送りつける。このファイルは拡張子（ファイル名の最後についている .exe）が実行ファイルであることを示している。実行ファイルとは、コンピューターのオペレーティング・システム（ＯＳ。ワープロや表計算などの応用ソフトに対して基本ソフトとも呼ぶ）で実行することができるファイルを指すが、メールに実行ファイルが添付されていると、閲覧ソフト（ブラウザ）やメールソフトはまずユーザーにそのプログラムを実行するかどうかを確認するのが普通だ。
　メールの添付ファイルは実行ファイルなのに、ニムダは単なる音声ファイルのように偽装する。そこで、それを受け取ったインターネットエクスプローラは「音声ファイルですよ」という嘘にだまされて、そのファイルをユーザーの確認を求めず実行し感染してしまうのである。
　こういう現象が見られた場合、「インターネットエクスプローラにセキュリティホール（セキュリティの穴、つまり弱点）があった」という表現を用いる。セキュリティホールの詳細については、「第七章　サイバーテロ」で取り上げる。
　
　感染すると
　
コンピューター内の電子メールアドレスを検出し、相手に勝手に感染メールを送りつける。
接続されているネットワークの共有機能を利用して、別のパソコンに侵入する。
感染したホームページに接続したコンピューターに感染ファイルを送りつける。
コンピューター内部のデータを外部に流出させる。ただし、データを破壊する行為は行わない。
　
　この最後の点について、データ流出だけなら実害はないように思えるかもしれない。派手な破壊活動を行うほうがウイルスの活動としては深刻に見える。
　しかし、実際には逆のことが多い。コンピューターシステムを導入している企業では重要なデータについてはバックアップをとっているはずだから、感染したコンピューターのデータが破壊されても、バックアップ・データからすぐに復旧することは可能である。
　それに比べると、内部データの外部流出は、うっかりすると気がつかずに見過ごされてしまう可能性がある。企業の顧客情報や取引情報、官公庁では機密情報が漏洩でもしたら、「いやぁ、ぼくもついにウイルスにかかっちゃってさ」と流行に乗り遅れなかったことを無邪気に喜ぶどころではなくなってしまう。もし、データのバックアップを確保していない企業があったら、あるいは自前でサーバーを立ち上げているのにセキュリティに詳しいシステム管理者がいない企業があれば、ネットワーク化した社会において、将来も取引相手として継続すべきか考え直す必要があるかもしれない。それほど影響は大きい。
　この年の七月に登場したサーカムというウイルスでは、米連邦捜査局（ＦＢＩ）のコンピューターから現実に少なくとも八件の内部文書が外部に漏洩したことが確認されている。フィリピン外務省も極秘文書が海外に漏れた可能性があると発表した。中国と領有権を争う南シナ海の南沙諸島問題など安全保障に絡む文書が漏洩した可能性もあるとされたのである。
　ニムダに攻撃されたセキュリティホール（マイクロソフト社は脆弱性という表現を用いる）について、同社は半年前の二〇〇一年三月の時点で気づいており、修正プログラムを用意していたと述べた。感染が拡大した九月二十日には同社のウェブサイトのトップページにその旨のメッセージを掲載していたとする。しかし、看板のマイクロソフトネットワーク自体がやられて、そのためにそこにアクセスしたユーザーから大量の感染者が出ることになったわけだから対策に不備があったことは否めない。
　立志伝中の人物でもある創業者で会長のビル・ゲイツは三ヵ月後の二〇〇二年一月、今後の新製品の開発においては従来のように新機能追加を優先するのではなくセキュリティを優先するという経営方針の転換を表明した。マイクロソフト社は二〇〇三年六月、ルーマニアのウイルス対策ソフト企業の技術を買収し、ウインドウズ９５以降いったんは撤退していたこの市場に再参入すると発表するに至る。さらに十一月には、ウイルス作者に関する情報提供を求めて五百万ドル（約五億五千万円）の懸賞金基金を設けたが、翌年一月には、さっそくマイドゥームというウイルスの変種の一種であるＭｙｄｏｏｍ．ｂの作成者につながる情報提供に対し、「二十五万ドル（約二千六百五十万円）の報奨金を出す」と発表した。また、二〇〇四年度には早大と提携してセキュリティ技能に関する講座を設置することも表明した。
マイクロソフト社のウインドウズには従来からエムエスドス（ＭＳ・ＤＯＳ）をベースにしたパソコン系とユニックス（ＵＮＩＸ）をベースにしたワークステーション系と二系統のものがあった。それがＸＰで事実上両者は統合されたが、セキュリティ対策は絶えず求められ、二〇〇四年九月にはＸＰのセキュリティ機能を大幅に強化するサービスパック２がリリースされている。
　公平を期すために付け加えると、マイクロソフトのソフトウェアに特にセキュリティホールが多いというわけではない。プログラムにバグ（不具合）はつきものだし、動画や音楽などインターネットを楽しめる仕掛けが逆に裏目に出てセキュリティ上の穴になることもある。
　パーソナル・コンピューターのオペレーティング・システムでは同社のウインドウズが圧倒的なシェアを誇っているし、ウインドウズを搭載したパソコン・ユーザーの多くは無償で提供される同社のインターネット閲覧ソフトであるインターネットエクスプローラと電子メールソフトのアウトルックやアウトルックエクスプレスをそのまま使っている。となれば、どうしても標的にされやすいし、アラも発見されやすいわけだ。
　
　短期間に官公庁や一般企業、報道機関などから被害報告が出てきたことを受けて、内閣官房情報セキュリティ対策推進室は文書で全省庁に注意を呼びかけた。警察庁は、全国の警察本部を通じて被害状況の調査を指示した。
　
　一九九〇年からコンピューターウイルスの被害届提出状況を集計し公表している経済産業省の外郭団体である情報処理振興事業協会（ＩＰＡ）セキュリティセンターによれば、ニムダについて国内で最初に感染例が確認されたのは九月十八日で、実際に発見・被害届が出されたのが十九日となっている。この日の届出は十九件。翌九月二十日は六十五件、二十一日の午後四時の時点で百五十件と増加した。
　同時にウイルス情報を提供している同協会のホームページにはアクセスが殺到し、しばらく閲覧できない状態が続いた。
　こうした被害は同時進行的に世界各地で拡大していった。
　コンピューター関係のセキュリティを専門とするイギリスのメッセージラボ社の調査では、二十日までのわずか二日間で感染報告は約五十カ国に達した。当時、ブロードバンドによるインターネットの利用で日本の先を走っていた韓国の情報通信省は、二十日までに韓国内で三千七百件の被害報告があったと警告を発した。