研究者らがWittyワームの出所を追及、内部関係者の関与の可能性も

米国の研究者らが、2004年3月に登場した「Witty」ワームの拡散の模様を再現し、出所を追求した。

[ITmedia]

　米国の研究者らがまとめた報告書によると、2004年3月に登場し、急激に拡散してあっという間に消えた「Witty」ワームの出所に、何らかの形でセキュリティ企業の内部関係者が関与している可能性があるという。

　このレポートは、2004年3月に出現し、インターネット セキュリティ システムズのセキュリティ製品に存在した脆弱性を突いて拡散したWittyワームの動きを解析したもの。同ワームは、脆弱性の存在が公表された直後に登場し、1時間足らずのうちに1万2000台のコンピュータに被害を与えた（関連記事）。ハードディスクごとクラッシュさせられた端末も少なくはない。

　5月24日に3名の研究者が公開したレポートによると、Wittyワームの最初の被害者にして感染源である「Patient Zero」のIPアドレスは、ヨーロッパのISPにある端末のものだという。

　研究者らは、Wittyワームが次なる感染先を求めて行うIPアドレス検索に用いられる擬似乱数生成コードのリバースエンジニアリングを行い、同ワームがどのように拡散していったかを解析、再現したという。これによると、最初のターゲットとして米軍関係のIPアドレスが、次の感染先として教育機関に属するIPアドレスが浮上した。

　ただ、最初の米軍関係のシステム135台のうち110台までがわずか10秒ほどの間に感染したことから、「ランダムな検索の結果ではなく、『攻撃リスト』に載せられていたか、攻撃者によって侵害されていた可能性が高い」と結論付けたという。

　レポートはさらに、Wittyワームの感染が急速であることを踏まえ、ワームの作者が、米軍内で脆弱性が存在するISS製品が利用されていることを知っており、かつ脆弱性について公表前に知ることができた人物、つまりISSの内部関係者であることが示唆されるとしている。