Code Redの活動状況と傾向を探る

オランダにCode Red/Code Red IIの活動状況をリアルタイムでモニタしているサイトがある。そのデータからは，この2つのワームの特性がおぼろげながら見えてくる。

【国内記事】

2001年8月9日更新

　Code Redは終息期を迎えたようだ。対してCode Red IIの活動は，ピークは越えたものの，いまだ予断を許さない状況と言える――。

　欧州で20分ごとにCode RedとCode Red IIの活動状況をモニタしているサイトの統計を見ると，そんな傾向が読み取れる。同サイトにはExciteによる日本語訳リンクもある。

　不思議なのは，Code Red II感染者にはダイヤルアップユーザーも多いと推定されるにもかかわらず，この異変に気が付いていない点だ。LAN内のパケット異常増加は，例えば100Mbpsのネットワーク全体を埋め尽くすほどなのに。さらには外部との通信速度低下を引き起こすはずだ。もっとも，EU地域は夏休みで人口が少ないせいなのだろうか。

　以下にそれぞれの傾向を分析してみた。

Code Red

1. 日本や韓国を中心とする東アジア地域一極集中感染。米国は東・西海岸中心，EUはまんべんなく。逆に言えば，「Windows NT/2000の普及地域」かつ「不注意な管理者」は東アジアに多い？
2. ランダムなIPアドレスを攻撃対象にする傾向が明確になっている。
3. 常時接続ユーザーを中心に感染。

Code Red II

1. 自分に近いIPアドレスを攻撃対象にする傾向にある。この監視サイトのドメイン「.nl」はオランダだ。従って，彼らが採取したサンプルはEU地域限定の傾向を示している。サイトの注記からも分かるように，日本などの地域の傾向は図に表れない。
2. 感染サーバはCode Redに対して少ないものの，パケット数は多大に流れている。
3. 時間当たりの推移を見ると，ダイヤルアップユーザーも多く感染していることが分かる。毎日，ビジネス時間にピークを迎える。

　リアルタイムに更新されるグラフを見ていると，「管理者は感染の事実に気付き，早急に対処してほしい」と切実に願うばかりだ。

関連記事
Code Redはログから“アシ”がつく
CodeRedの攻撃でルータも悲鳴
Code Redでも問題に――頭の痛いバッファオーバーラン
東京めたりっく通信の通信障害はCode Redが原因か
危険度はオリジナルを超える新種「Code Red II」
勢いの鈍ったCode Red，しかしまだ要注意
Code Redに改めて警戒を――世界に向けて異例の呼びかけ

関連リンク
Number of Code Red worm probes per hour

Copyright © ITmedia, Inc. All Rights Reserved.

---