概要
CIHは、1998年に最初に出現した悪名高いコンピュータウイルスで、主にMicrosoft Windows 9xシステムを標的にした。破壊的なペイロードが4月26日(チェルノブイリ原子力災害の記念日)に発動するよう設定されていたことから「Chernobyl」と呼ばれ、実行ファイルに感染する手法から「Spacefiller」とも呼ばれる。台湾の学生、Chen Ing-hauによって作成され、広範なデータ破壊と、一部の機種でPCファームウェア(BIOS)を書き換えられるというまれな能力の両方で悪名高くなった。
技術的特徴
CIHはWindows 9x向けのPortable Executable(PE)ファイルに感染し、未使用領域を埋めることでファイルサイズを変えない手法を採用した。これが「spacefiller」という通称の由来である。感染後はペイロードが休眠し、起動日になると、ウイルスはデータ破壊を試み、さらに一部のシステムではフラッシュROMへ直接書き込むことでシステムBIOSの破損まで引き起こした。
- 標的: Windows 95/98および、ハードウェアアクセス制限が比較的緩い他の9x系システム。
- 感染経路: 感染した実行ファイルが、ソフトウェア配布、共有ファイル、リムーバブルメディアを通じて拡散した。
- ペイロード: ファイル内にランダムまたは擬似ランダムなデータを書き込み、脆弱なマザーボードではフラッシュBIOSセクタを直接上書きした。
- 発動条件: 日付ベースの起動(特に4月26日)で、ただし変種や複製によって挙動は異なった。
BIOS破損が可能だった理由
Windows 9xマシンでは、OSがDOSの一部を動かし、現代のオペレーティングシステムでは禁止される低レベルのハードウェアアクセスをユーザーモードコードに許していた。CIHはこの緩いアクセスモデルと、書き込み可能なフラッシュROMの存在を悪用し、BIOS領域への書き込みを実行した。フラッシュチップが上書きされると、機械は起動できなくなる可能性があり、通常はベンダーのツールでBIOSを再フラッシュするか、チップやマザーボードを交換して復旧する必要があった。
歴史、拡散、影響
CIHは1998年に最初に検出され、1999年には注目される流行が起きた。実行ファイルに感染し、共有メディアや一部の市販CDを通じて配布されたため、広く拡散した。目立った事例には、感染した小売ソフトウェアの報告や、完成品システムの一部モデルが工場出荷時にハードディスク上へ感染ソフトウェアを載せていたというケースが含まれる。金銭被害の推定値はさまざまで、当時の評価では、作業損失、復旧費用、ハードウェア修理を含め、世界全体で数億ドルから10億ドル超の経済的影響があったとされた。
対策、対応、遺産
CIHは、コンピュータセキュリティと製造の複数の分野で変化を促した。アンチウイルスベンダーは検出・除去のためのシグネチャやヒューリスティックを追加し、ベンダーは出荷ソフトウェアの確認を改善し、マザーボードやBIOSメーカーはファームウェアの書き込み防止機構を実装または推奨した。この事件は、定期的なバックアップ、信頼できない स्रोतから入手した実行ファイルの慎重な取り扱い、そしてユーザーモードプログラムがファームウェアへ直接書き込むことを防ぐシステムレベルの保護の重要性を示した。
厳格な権限分離を備えた現代のオペレーティングシステム(たとえばWindows NT系システム)や、より改善されたファームウェア管理(UEFIと安全なフラッシュプロトコル)は、CIHのような攻撃をはるかに難しくしている。それでもCIHは、破壊的なペイロードと、ファームウェア保護や安全なソフトウェア配布の実務に影響を与えた点で、マルウェア史における重要な事例であり続けている。
参考文献・関連資料
- 技術分析と報告
- 歴史的な事例の要約
- 作者の背景と特定
- ウイルス系統の変種
- 感染ファイルでの挙動
- データ復旧の方法
- ハードディスク復旧の手法
- BIOS破損の詳細
- プラットフォーム差(Windows 9xとNT)
- NT系システムが受けにくかった理由
- 経済的影響の推定
- 注目された被害ベンダーと事例
- 市販メディアによる配布
- 感染ソフトウェア報告の例
- CIHの教訓に基づく現代の防御
歴史的なマルウェアを調べる人にとって、CIHは低レベルのハードウェアへアクセスできるソフトウェアが、永久的な損害を与えうることを思い出させる存在である。ファームウェアの書き込み防止、安全な更新機構、最小権限の原則を含む現代のベストプラクティスは、今日の同種の事件を防ぐ助けになる。