2000年以降のマルウェア 1|セキュリティ|ブログ|Computerworld

トップ
ブログ
セキュリティ
2000年以降のマルウェア 1

セキュリティ

2000年以降のマルウェア 1

Posted by 蔵本雄一 ( 2010年04月24日 )

読者の皆様

お待たせしました。
一日に2L は水を飲まないと調子が出ない蔵本です。

本日の一枚は、またもや名古屋名物、味噌煮込みうどんです。
ちょっと固めのメンとダシがめっちゃうまい、、、というのは置いといて、さっそく始めて行きましょう。

今回は、前回の続きで2000年以降～近代のマルウェアについてお話しますが、二回に分けてお話しようと思います。
この頃、私はまだマイクロソフトに入社しておらず、前職でウイルス対策ソフトを生業としていました。また、世間的にウイルスという脅威の認知度が上がってきた頃ですが、ウイルス策ソフトの導入やパッチ管理といったセキュリティ対策は、まだまだ十分には行われていな時代でした。当時を振り返りながらお話していきます。前回、今回と思い出いっぱいです。

前回、2000年以前のマルウェア達は脆弱性を突くものが少ないというお話をしましたが、2000年頃を境に脆弱性をついて感染を行うマルウェアが増えていきます。OSから3rd Party等のアプリケーションまで、脆弱性を感染経路として利用するマルウェアが登場し、感染を広げていきました。近年ではGumblarも騒がれましたね。脆弱性を狙ったマルウェアでは、CodeRed、Nimda、Lion等が有名です。先に挙げたような、脆弱性を突くワームは、攻撃時に残るログが非常に特徴的なため、不本意ながら、ログを見ただけで何のワームなのか判別できるようになってしまった方も多いのではないでしょうか。私も前職の時にお客様からご相談を受けたり、自宅のハニーポッドのログを見まくっていたお陰でマルウェアやその他攻撃等、判別できるようになってしまいました。

例えば Code Red では下記のようなログが残る事があります。
恐らく最も有名なログではないでしょうか。

出典
http://technet.microsoft.com/ja-jp/library/dd362800.aspx
GET /default.ida XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090
%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a
「インターネットからの脅威はFirewallを入れていれば万全」と言われ、Firewallが守護神のように扱われていた時代もあったのですが、Code Redが登場する事で、守護神伝説は崩壊します。Firewallで開けている80番を狙われたので、止めることはできません。そして、新たな脅威として、脆弱性を狙ったマルウェアの認知度が上がる事で、「Firewallを入れていても防げない脅威」をテーマとしてセミナー等が多く開催されるようになりました。当時の情報セキュリティExpoは、この話題で持ち切りだった事を覚えています。この頃から、パッチ管理やIDS製品が注目され、セキュリティのマーケット規模が段々と大きくなっていく事になります。また、脆弱性といっても、パッチだけではなく、パスワードに対してブルートフォースしたり、あらかじめ空のパスワードを狙って、正面から侵入されて感染するケースもあり、設定上の脆弱性にも気を付ける必要があります。

小ネタですが、マルウェア三国志をご存知でしょうか。昔々、MyDoom、Bagleというウイルスが感染を広げている最中に、突如現れたNetSkyが世間の注目を浴びた事を面白く思わなかった、MyDoom、Bagleの作者同士が共闘体制を組み、NetSkyの作者の糾弾するメッセージを仕込んだ亜種をリリースしました。すると今度は、NetSky側から、Bagle側を糾弾するメッセージを仕込んだ亜種がリリースされ、他人のデスクトップを戦場とした三国志が行われていました。また、Code Red の時にも、Code Red が利用する MS01-033 のパッチを当てて回る Code Green なるワームの登場も騒がれました。三国志でも日本の戦国時代物でもよく出てくるお話ですが、いつの世も、戦場となる罪のないユーザーが迷惑するというお話です。

今回は、ボットやルートキットまで、ｌご紹介ができませんでしたので、そちらは次回ご紹介させて頂こうと思います。

また、楽しみにして頂いている読者の方 (いるんでしょうか？笑) には申し訳ございませんが、いつも書いている「監査時によくある一幕」は、前回のネタがあまりにも強引だったため(笑)、似たような内容である今回は割愛させて頂きます。

それでは次回をお楽しみにしていてください！！！

特　集

CW_Topics_レクタングルバナー14

CW_Topics_レクタングルバナー15

CW_Topics_レクタングルバナー17

CW_Topics_レクタングルバナー19

CW_Topics_レクタングルバナー22

ブログカテゴリ

ブロガープロファイル

プロフィール

蔵本雄一… CISSP 公認情報セキュリティ監査人。前職でアンチウイルスソフト等の開発に携わった後、Microsoft社のセキュリティエンジニアとして顧客環境のセキュリティ向上提案活動に従事。プログラミングやハッキング等の下流技術要素から、情報セキュリティ監査やコンサルティング等の上流要素まで、幅広く豊富な知識を活用した提案をおこなっている。その他、セミナー講師、イベントスピーカーや記事執筆等の活動も精力的にこなす。気は優しくて力持ち。