Pages Menu
TwitterRssFacebook
Categories Menu

Posted by on 2月 1, 2005 in マルウェア | 0 comments

ワームとは? その2

「ネットワーク型ワーム」

今回はメールという方法を使わないで、ネットワークを介して感染を広げるネットワーク型ワームのお話です。

ネットワーク型ワームとはユーザがファイルを実行してくれなくても自分自身で勝手に感染していってくれるなんとも親切な(?)ウイルスです。

以下は、代表的なネットワーク型ワームの動作です。

まず最初にワームはネットワークに繋がれたコンピュータを探します。

どうやってコンピュータを探すかというと、IPアドレスと呼ばれるネットワークに繋がるコンピュータにつけられた一意の番号(例:192.168.0.1)に対して、総当りで「いますか〜?」という問い合わせをします。

その後、発見したコンピュータに対して、セキュリティホールを利用した攻撃をとりあえずやってみます。

そのコンピュータがちゃんとパッチを適用していれば大丈夫ですが、もし、パッチ未適用で、セキュリティホールが残ってるコンピュータはやられてしまいます。

そして攻撃が成功した場合、ワームは勝手にそのコンピュータに侵入することができます。

侵入って具体的に何をするかといいますと、実行ファイル(ワーム本体)をコピーして、そのコンピュータ上で実行し、感染させます。

実はこれまでのほとんどのネットワーク型ワームは、Microsoftがセキュリティホールとそれに対する修正パッチを公開した後に発生しています。

つまり、ほとんどの場合、ウイルス作者はMicrosoftから情報をもらうことにより、ワームを作成することができていたのです。

「先に修正パッチが出てるんだったら問題ないじゃん」と思うかもしれませんが、、これが皆さんなかなかパッチを当てないんです。

面倒、適用方法がよくわからない、といった理由の他に、会社で使ってるソフトに影響があるかもしれないので適用できないなど、いろいろな理由があります。

ウイルス作者もそれをわかってるんですね。

メール経由で感染するマスメーリング型ワームの場合、皆さんが利用しているようなPCに感染するものが多いんですが、ネットワーク型ワームは、ちょっと前まではサーバーに感染するものがほとんどでした。

代表的なものにCodeRed、Nimda、SQLスラマーといったワームがありますが、これらはサーバーソフトウェアのセキュリティホールを狙うワームでした。

なぜかというと、マスメーリング型の場合は、メールを取り込んでもらい、実行してもらえればいいんですが、ネットワーク型の場合は常時ネットワークに繋がっていなければ攻撃を受けないからです。

だから、クライアントPCじゃなくて、常にネットワークにつながっているサーバーがターゲットだったんですね。

でも、最近ブロードバンド化が進み、皆さんのPCもネットワークに常時繋がるようになり、サーバーだけでなく、クライアントのPCにも感染するワームがあらわれました。

その最初にして最も強力だったものが、MSブラスターと呼ばれるワームです。

次回はMSブラスターの話をしてみたいと思います。