2001/09/01
CodeRedの話1
激しい感染力を持つCodeRedというウィルスが猛威を振るいました。私の家では被害はありませんでしたが会社ではサーバというサーバが感染したといってもよいくらいの被害が出ました。ちなみにCodeRedIIのほうです。
さて、このCodeRedと呼ばれているプログラムは厳密にはウィルスではありません。ジャンルとしてはワームに属しますが、ここではウィルスと表記しておきます。もともとオリジナルのCodeRedIIは中国で作られたらしいウィルスで、ホワイトハウスのWebサーバに対してある日時でサービス妨害攻撃(DoS)をかけるツールです。いわゆるDDoSの種となるわけです。本来のCodeRedは2001年の7月28日時点で無限スリープに入るようにできていたため、その後は安全と見られていましたが実は8月1日に再び覚醒する可能性があるということです。ただし、既に感染したマシンが再感染しても再覚醒はしないようです。このワームの特徴はWindowsNT4.0または同2000にマイクロソフトのIISやWebServerがインストールされているマシンで発病します。これは昔からセキュリティの穴だらけと言われているIISシリーズのバッファーオーバーフロー現象(例えば256バイトしか確保していない領域に1024バイトのデータを流しこむことで1024-256=768バイト分のデータが不正な処理を行うという現象)を利用して感染します。感染すると、ランダムなIPアドレスのマシンに手当たり次第に同じ攻撃を仕掛けることで増殖します。ちなみに英語版のWindowsに感染すると、WebPageへのアクセスをフックして本来のWebPageとは異なるWebPageを表示します。このCodeRedはホワイトハウスのWebサイトを攻撃しますが、ホワイトハウスはその対策のためにIPアドレスを変更させられました。CodeRedIIはCodeRedとほぼ同じ作りで、同じバグを利用して感染します。しかしCodeRedIIはこのアタック先を外部から変更できるようにしてありました。つまりキーを用いて好きな場所にDDoSがかけられるようになったいたわけです。
明日に続きます。
前 後
Topへ