ハッカーの系譜(11)スタートアップを養成する「Yコンビネーター」 (1) 世界に衝撃を与えたインターネットワーム

牧野武文

April 19, 2017 08:00
by 牧野武文

「世界を変えるような新しいアイディアはすべてがシリコンバレーで生まれている」と言われる。すべてというのは大げさにしても、新しいアイディアの多くがシリコンバレーから生まれていることは確かだ。なぜなら、新しいことをやりたい若者は、全米中から、そして今では世界中からシリコンバレーに移住をして、スタートアップを起業するからだ。

スタートアップを支援する組織

この循環を加速しているのがアクセラレーターと呼ばれる企業だ。スタートアップ志望の若者を公募し、有望なチームはシリコンバレーにきて、3ヵ月間みっちりと開発をおこなわせる。その間、アクセラレーターは会社設立のための法的支援、ビジネスプランに対するアドバイスなどをおこなう。ハイライトは、最終日のデモデーだ。世界中から投資家たちが集まり、その前で各チームは自分たちのプロダクトをプレゼンテーションし、売りこむ。有望な企業は、その場で投資の話がまとまっていく。

その中でもとりわけ有名なのがYコンビネーター(Y Combinator)だ。Yコンビネーターからは、ファイル共有サービスの「Dropbox」、民泊の「Airbnb」などの成功例が生まれている。

Yコンビネーターを創業したのは、ポール・グレアム、ロバート・モリス、トレバー・ブラックウェルの3人だ。3人はいずれも元ハッカーで、3人でビアウェブというスタートアップを起業し、ヤフーに売却することで、大金をつかむことに成功した。しかし、3人とも最初からスタートアップ志望ではなかった。ブラックウェルは生粋のエンジニアで、何かを作る会社をつくりたがっていたが、グレアムはコンピューター科学を専攻しながらも画家になることを夢見ていた。モリスは学究肌でアカデミズムの道を進んでいて、どちらかというとビジネスは苦手だった。

そんな3人、とくにグレアムとモリスが出会い、ビアウェブを創業しなければ、現在のYコンビネーターも存在しなかったことになる。二人がスタートアップを起業したことには、その7年前のある事件が関係している。それは1988年の「暗黒の木曜日」に起きた事件だった。

世界初のインターネットワームが計算機を食い荒らす

1988年11月3日は、暗黒の木曜日として人々に記憶されている。BSD版UNIX 4.2または4.3で動作するコンピューターの管理者が大学や研究所に出勤し、いつものようにシステムの情報を表示させると、得体の知れないプロセスが無数に走っていることに気がついた。その数は数百を超え、CPUリソースを食い散らかしているために、システムがやるべき本来のプロセスが遅延し始めていた。

多くのシステム管理者が、この得体の知れないプロセスを反射的に手動でキルしてみた。しかし、まったく効果がなかった。手動でキルできるプロセスの数よりも、新たに発生するプロセスの方が数が多く、手動キルをしようがしまいが、事態は悪化の一途をたどっていることが明らかだった。

次に、システム管理者はコンピューターそのものを再起動させてみた。これは効果があった。再起動後は、得体の知れないプロセスはまったく消え失せ、システムは健康を取り戻したように見えた。しかし、それは見かけだけのことだった。数分もしないうちに、あの得体の知れないプロセスが走り始め、その数は爆発的に増えていくのだった。

現在のシステム管理者であれば、ワームが入りこんだということにすぐに気がつくだろう。しかし、当時のシステム管理者にそこに気がつけというのは無理だった。なぜなら、これが世界最初のワームによるインシデントだったからだ。瞬く間に全米の約6000台のコンピューターが機能不全に陥り、当時のインターネットであるARPNETも事実上の機能不全状態になった。

このモリスワーム(作者の名前、ロバート・モリスから、今日そう呼ばれるようになっている)がコンピューターを蝕んでいく速度は圧倒的に速かった。例えば、ユタ大学のコンピューターは、11月2日の21時09分にこのモリスワームに感染をした。ユタ大学では、日頃からコンピューターの平均負荷を記録する習慣があった。定義としては、過去1分間に待ち行列に並んだプロセス数のことで、この平均負荷が5を越えると異常事態ということになり、通常は使用量によって0.5から2の間を推移している。当然、感染した瞬間も平均負荷はこの正常値の範囲の中にあった。

しかし、12分後の21時21分には、平均負荷が5を超え、異常事態が認知された。感染後32分の21時41分に平均負荷が7を突破し、感染後52分の22時01分に16を突破。22時6分には、走らせることのできるプロセス数の限界を超え、機能不全状態となった。そして、感染後71分の22時20分には、平均負荷が27を超え、リカバリー操作すら難しい状況となった。結局、ユタ大学のシステム管理者は、感染後100分の22時49分に、システムをいったん停止した。感染後132分に再起動したが、新たにワームのプロセスが無数に走り始め、負荷は37を超え、手の施しようがない状態となった。

2日午後23時28分、NASA研究センターのピーター・イーがメーリングリストに警告をだした。「今、私たちはインターネットからウイルスの攻撃を受けている。このウイルスは、バークレー校、サンディエゴ校、ローレンスリバーモア研究所、スタンフォード大学、NASA研究所を攻撃中だ」。そして、telnet、ftp、finger、rsh、そして電子メールサービスを停止することを推奨した。

3日午前0時34分、ハーバード大学のアンディ・サダースが警告のメッセージをメーリングリストに投稿した。sendmail経由で感染するのではないかという所感を初めて報告した有益なメッセージだったが、残念なことにワームに対処するために、relay.cs.netが停止されていたため、このメッセージが読めるようになったのは2日後だった。

モリスワームの駆除が始まる

ネットワーカーたちが反撃に転じることができたのは、3日午前2時54分だった。ようやくsendmailをどのように修正すればいいのかという情報が、ニューズグループとメーリングリストに投稿された。さらに、午後19時18分になって、fingerの修正すべき点が投稿される。

翌4日の午後5時ごろ、偶然開かれていたバークレーUNIXワークショップで、このワームについての報告がなされた。さらに8日には、国立コンピューターセキュリティーセンターの会議で、このワームについて議論される。11日午前0時38分、ワームが分離され、逆コンパイルされたソースコードが公開された。

このワームは一体なんだったのか。多くの管理者がただのいたずらなどではなく、悪意のある攻撃だと考えた。なぜなら、4つものUNIXコマンドの脆弱性をついて自己増殖、感染するように仕組まれていたからだ。多重感染したコンピューターは、大量のプロセスが起動し、CPUリソースが奪われ、今日のウェブに対するDoS攻撃に近い影響を受けてしまう。

rsh、rexecはリモートでコマンドを実行するためのコマンドだが、当然悪用されてしまう危険性があるので、それぞれに認証機能が用意されている。rshの場合は、事前に「信頼されたホスト」として登録しておいたコンピューターからのコマンドしか受けつけない。しかし、当時は運用もいい加減だった。多くのコンピューターが知り合いの大学や研究機関のコンピューターを「信頼するホスト」として登録してしまっていたのだ。

一方で、rexecはセキュリティがより厳しく、管理者のアカウントとパスワードを入力しなければならなかった。これに対して、ワームは辞書攻撃の機能をもっていた。辞書の単語数はわずか400個だったが、アカウント名を変換してパスワードを類推する機能ももっていた。例えば、アカウントがabcであれば、abc、abcabc、cbaなどをパスワードとして入力する。現在ではほとんど通用しない単純なパスワード攻撃だが、当時はセキュリティ意識も高くなかったため、容易にコンピューターに感染できたという。
 
(その2に続く)




ホワイトハッカーが中国個人情報闇売買市場の裏取引価格を暴露

April 24, 2017 08:00

by 牧野武文

中国IT時報は、騰訊(テンセント)が組織するホワイトハッカー集団「騰訊守護者計画安全団体」の調査により、違法流出した個人情報の闇市場での取引相場価格の詳細が判明したと報じた。 違法流出の個人情報を購入するのは詐欺や資金洗浄を行う犯罪集団だけでなく、興信所や調査会社などの合法企業が購入していることも明…

スマートフォンのセンサーからユーザーのPINコードを盗む方法

April 21, 2017 08:00

by 江添 佳代子

英ニューキャッスル大学の研究チームが、「スマートフォンのモーションセンサーを利用し、ユーザーの入力したPINコードを割り出すことができるJavaScriptの攻撃」を発表した。この攻撃はMaryam Mehrnezhad博士率いる研究チームが示したもので、1度の入力読み取りテストで70%以上、3度の…