コラム
» 2004年06月03日 15時00分 UPDATE

「マルウェアの新章」開くWittyワームの恐ろしさ

WittyワームはISS製品の脆弱性を悪用し、巧妙な手口により45分ですべての標的に感染した。もしもこのワームが一般的なWindowsの脆弱性を悪用していたら……(IDG)

[IDG Japan]
IDG

 マスコミの報道を指針にするなら、Wittyワームはあまりうまくいかなかったと言える。MSBlast、SQL Slamer、Nimda、そしてSasserさえも、Wittyより大きく見出しを飾っていた。Wittyが感染したマシンはたった1万2000台程度、その中にホームユーザーはほとんどおらず、大事件には見えなかった。しかし、このワームは大変なものだったのだ。このような恐ろしいマルウェアは初めてであり、Wittyはこの先登場するワームの先駆けとなる可能性が高い。IT専門家はWittyを、そしてこのワームが何をしたのかを理解する必要がある。

 Wittyは特定のセキュリティ製品――この場合はInternet Security System(ISS)の「BlackICE」と「RealSecure」――をターゲットとする初のワームだ。このワームはこれらソフトの特定のバージョンを走らせていたコンピュータにのみ感染し、クラッシュさせた。

 私たちはこのワームから次のことを学んだ。

 Wittyは大成功を収めた。1万2000台のマシンはまったく脆弱で無防備で、Wittyは45分で世界中にあるこれらマシンすべてに感染した。少数のターゲットにこれほどの短時間で感染したのはこのワームが初めだ。ScalperやSlapperなど小規模な標的を狙ったそれまでのワームは、感染ペースが遅かった。

 Wittyは作成にかかった時間も短かった。セキュリティ企業eEye Digital SecurityがISSのBlackICEとRealSecureの脆弱性を発見したのは3月8日、ISSが修正版をリリースしたのは翌9日だった。eEyeは同月18日にこの脆弱性に関する高度な情報を開示し、その36時間後の19日夕方には、Wittyワームが野に放たれた。

 Wittyは非常にうまく作られている。サイズは700バイト足らずで、乱数生成機能を使って拡散し、過去のワームが抱えていた問題の多くを回避している。このワームは自身をランダムなIPアドレスとディスティネーションポートに送るため、ほかの手口よりも簡単にファイアウォールを通り抜けられる。そしてすごいことにバグがない。これは、Wittyがばらまかれる前にテストされたことを暗に示している。

 Wittyは約100台の感染マシンのボットネットワークを通じて巧妙にばらまかれた。この手法は以前から話題に上っていたが、私たちが知る限り、実際にこれを利用したのはWittyが初めてだ。この手法と賢明な拡散方法により、Wittyは脆弱なすべてのターゲットに45分で感染した。

 このワームは群を抜いて悪質だ。感染したシステムをクラッシュさせるワームの中では初めて広範囲に拡散したものであり、しかもその手口は非常に巧妙だ。同ワームの悪質なペイロードは、ランダムに選択したドライブのデータを64Kバイト分消去し、拡散スピードを大きく落とすことなく即座にダメージを与える。

 私たちはこれをどう考えればいいのだろうか? Wittyの作者は明らかに、聡明で経験のあるプログラマーだ。これほどのレベルのスキルと悪質さを組み合わせたワームはこれが初めてだ。この作者は問題の脆弱性について高度な内部情報を持っていた――ISSのパッチをリバースエンジニアリングした可能性は低い――か、あるいはかなり迅速に作業を行ったのだろう。おそらく、作成済みのワームが手元にあり、ばらまく直前に問題の脆弱性を加えただけなのではないだろうか。いずれにしても、作者は意図的にISSを狙ったようだ。もし最大限に感染を広げることが目的だったのなら、もっと一般的な脆弱性の発見を待って、それを利用していただろう。この作者が選んだワームは、特定のターゲットに最大のダメージを与えるよう最適化されていた。ISSへの攻撃だったのか、それともISS製品の特定のユーザーを狙っていたのかは分からない。

 Wittyはマルウェアの新章を示すものだ。このワームが一般的なWindowsの脆弱性を悪用していたら、これまでで最も損害の大きなワームになっていただろう。ワーム作者は互いに学び合っているため、ほかのワーム作者が逆アセンブルされたコードを見て、それを今後のワームに再利用することを想定しておく必要がある。さらに悪いことに、Wittyの作者はいまだ正体も分からず、野放しになっている。この人物がまた同じようなことをするものと考えておかなくてはならない。

 さらに詳しい情報はwww.icsi.berkeley.edu/~nweaver/login_witty.txtを参照。

Copyright(C) IDG Japan, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -