Computer Viruses including malware and adware Kensuke Naoe Takefuji Lab. INAS Security team Last updated on April 2003 不正アクセスなの? • セキュリティの脅威 – 不正アクセス • 攻撃手法の多様化、ツールの機能が向上したことにより、高度な 技術や知識がなくても不正アクセスが可能になった – 同じような不正アクセス攻撃が増える – 不正プログラム • 攻撃方法がコード化されている=攻撃方法が常に同じ – *(コードが実行されるたびにコードの記述方法が変わるウイルスも あり) • 2003年現在では不正アクセスという言葉が頻繁 に出てくるが、歴史的には不正プログラムのほ うが古くから存在し、今でもセキュリティ上の脅 威である – しかしながら近年のウイルスには不正アクセス行為 をするものもあり不正アクセス型マルウェアとも呼ば れるウイルスの分類もある。 ウイルスの発展とインターネット相関 • 1997年~1999年 CERT/CCによる脆弱性報告 から半年~約三ヶ月遅れで該当する脆弱性へ の不正アクセスが活発化 • 2000年以降 脆弱性が報告されてからすぐに不 正アクセス活動が活発化 – ユーザ側の正しい認識と常に日ごろから対策を持つ ことが重要 • 狙われるのは、ありふれたセキュリティ上の弱点 • 手口が知れると模倣版が出る • セキュリティホールはなくならない 歴史 • Virus History – http://www.cknow.com/vtutor/vthistory.htm • ホッブズのインターネット年表 – http://www.dendrocacalia.org/~common/rfc/rfc2235jp.txt 1990年以前 • 1970年 Bob ThomasによるARPAネットでのワーム 「Creeper」 • 1970年末 ゼロックスパルアルト研究所での実験ワー ム「Creeper,Vampire等」 • 1981年 最初のコンピュータウイルス「Elk Cloner」 – MacIIのフロッピーディスクで感染し、広まっていった – http://www.skrenta.com/cloner/ • 1983年11月3日 Fred CohenがVirusを作成し実験が行 なわれた、 – (Cohenがコンピュータウイルスの定義提唱。Len Adlemanが Virusと命名) – http://zdnet.com.com/2100-1105_2-5106221.html • 1984年 このことが始めて文書化された。 – ウイルスに関する最初の文書 • 1986年 最初のトロイの木馬「PC-Write」 • 1986年 パキスタンの兄弟によるBrainウイルス – 始めてのブートセクタ感染型 • 1986年 Virdem 最初のファイル感染型のウイルスと言 われているが、、、 • 1987年 Lehigh ファイル感染型ウイルスが流行る – 主に.comファイルに感染(command.com) • 1987年 Jerusalemウイルス – 最初のexe感染ウイルス • 1987年 IBM Christmas Worm – 高速に感染するウイルス(一時間に500,000件) • 1988年 国内最初のコンピュータウイルス – NECが主催するパソコン通信のネットワークであるPC-VANに おいて、IDとパスワードを盗みそのデータを送るウィルスが電 子メールを介して広がったというものです。 • 1988年12月 Internet Worm事件 – – – – – バッファオーバーフロー攻撃などサーバの脆弱性を利用 Robert Morrisによるワーム インターネット経由のはじめての大きな脅威。 沢山のコンピュータをシャットダウンした CERTが結成されるきっかけとなった。 • 1989年 AIDS ファイル監禁・人質型 – ハードディスクを暗号化し、復号鍵がほしければ金を払うよう要 求 1990年代前半 • 1990年 VX(Virus Exchange)BBSがブルガリアでオン ラインに登場 – ウイルスの作者がコードやアイデアを交換した • 1990年1月15日 Berferd事件(AT&T研究所) – AT&Tの長距離交換機がダウンし、6万人もの人々が電話を使 えなかった – 交換機のプログラムミスに合ったことが判明するが、電話シス テムに侵入したハッカーの仕業と疑われた • 1990年 Mark LudwigがThe Little Black Book of Computer Virusesを出版 – Berferd事件について扱った • 1991年 Tequila 初めてのポリモーフィックウイルス • 1992年 Michaelangeloウイルス – 始めて世界規模に感染すると予想された(実際の感染数は少 なかったららしい) • 1992年 DAME(Dark Avenger Mutation Engine)という ツールキットによりポリモーフィックウイルスが作成容易 に – http://www.cknow.com/vtutor/vtpolymorphic.htm • 1992年 VCL(Virus Creation Laboratory) 実際にウイ ルス生成できるキット – プルダウンメニューやペイロードが選択可能 • 1994年2月 パスワード大量盗難 – パケットモニタリングによる認証情報の盗聴 • 1994年11月~12月 最初のHOAXウイルス 「Goodtimes」 – HOAXとはかつぐとか騙すということ。デマウイルス のこと • 1995年1月 ケビン・ミトニック事件 – IPアドレスの偽造によるコネクションハイジャック • 1995年 最初のマクロウイルス「Concept」 – Wordを攻撃 • 1996年8月 米国司法省Webページが改ざんされる – 1991年にWWWがリリースされてから、92年にはノード数が百 万を越えた。93年では日本でもインターネットの商用利用が郵 政省より許可される。95年JAVA登場。 – ブッシュよりもクリントン政権はInformation Technologyを早くか ら訴えてきた。(当選したのもそれが理由とも言われている) – 95年 Microsoft Windows95 TCP/IPやInternet Explorerを標準 装備 – 96年 アナログ56kbps通信が発表される • 1996年 Boza Windows95ファイルに特化したはじめて のウイルス • 1996年 Laroux 最初のExcelマクロウイルス • 1996年 Staog 最初のLinuxウイルス(Bozaを書いたグ ループによるもの) • 1996年9月 PANIXへのDoS攻撃 – Public Access Networks Corp(PANIX)がハッカー雑誌に掲載さ れた方法の概要を用いた、クラッカーによる繰り返しのSYN攻 撃を受けて閉鎖 – パケットレベルでのDoS攻撃の出現(IPアドレスの偽造の活用) • 1997年5月 朝日放送のホームページの書き換え • 1997年7月 ニュースサーバへの攻撃 • 1997年8月 cgi-binプログラムへの攻撃 – 脆弱性探査ツールの高度化 • 1998年 最初のJAVAウイルス「StrangeBrew」 • 1998年 BackOrifice – リモート管理ツール – インターネットを利用することでリモートからコンピュータを乗っ 取ることが簡単に出来るようになった • 1998年 Accessマクロウイルスが出現し始める • 1999年3月 Melissaワーム – WordマクロウイルスとOutlook、Outlook Expressのアドレスブッ クを用いて電子メールで感染するワームの機能が合体 • 1999年 Tristate – 最初のマルチプログラム対応のマクロウイルス • Word,Excel,Powerpointのファイルに感染 • 1999年 Bubbleboy – 始めてメールを開くと実行する型のワーム – Outlookのメールを開けるもしくはOutlook Expressで メールをプレビューすると自動的に実行 – Proof of Concept(Kakがこの手法を用いている) • 1999年5月 米政府関連Webサイトの書き換え • 2000年1月 官公庁関連Webサイトの書き換え • 2000年2月 米国有名サイトへのDDoS攻撃 – DDoS攻撃の出現 • 2000年5月 LoveLetterウイルス • 2001年2月 国内複数Webサイトの書き換え • 2001年5月 sadmind/IISワーム – サーバの脆弱性を攻撃する不正アクセス型ウイルス • 2001年7月 Sircumウイルス • 2001年9月 Nimdaワーム – サーバ/クライアントの脆弱性を攻撃する不正アクセス型ウイル ス • マルウェア(不正アクセス型ウイルス)の時代へ 不正プログラムの種類 ウイルスの定義 • 生物ウイルスのように有機的なものではないが、その不 正プログラムの動作が生物ウイルスに似ているため、コ ンピュータウイルスと呼ばれるようになった。 • 広義 – 不正なプログラム全般 • 狭義 – 以下の特徴のうちいずれかを有する不正プログラムのこと • 感染:他のファイルにウイルス自身を付着させる • 潜伏:一定の条件が揃うのを待って悪質な行動をする • 発病:データの破壊、動作の不安定などユーザの意図しない 行動をする ここ10年間の届出件数の推移 国内の被害届件数の推移 7000 6128 6000 件数 5000 3645 4000 2391 3000 2000 1000 897 14 57 253 1127 2035 668 755 0 90年 91年 92年 93年 94年 95年 96年 97年 98年 99年 00年 1998年~2000年の届出(IPA発表) 2001年~2003年の届出(IPA発表) 過去の例:主にメールを中心に感染 2000年の主要ウイルス – W32/MTXウイルス • (ファイル感染型 メール機能悪用) – 11月に「W32/Navidad」 • (トロイの木馬 メール機能悪用) – 12月には「W32/Hybris」 • (トロイの木馬 メール機能悪用) • ウイルス対策7か条 http://www.ipa.go.jp/security/antivirus/7kajo.html 1999年9月7日 ウイルス対策7か条 • 最新のワクチンソフトを活用すること • 万一のウイルス被害に備えるためデータのバックアップを行なうこ と • ウイルスの兆候を見逃さず、ウイルス感染の可能性が考えられる 場合ういする検査を行なうこと • メールの添付ファイルはウイルス検査後開くこと • ウイルス感染の可能性のあるファイルを扱う時は、マクロ機能の自 動実行は行なわないこと • 外部から持ち込まれたFD及びダウンロードしたファイルはウイルス 検査ご使用すること • コンピュータの共同利用時の管理を徹底すること • これって古い考えだよね?今当たり前にされていることだし、、、 さすが1999年だ。 ワームとウイルス • 2001年はネットワーク経由ウイルス元年といわれている – NIMDA、BADTRANS、ALIZ • 2002年 – KLEZ(2001年10月)、Bugbear、Opaserv、Redlof • 2003年上半期のウイルス被害、Script型や共有フォル ダ経由型が増加傾向 – http://internet.watch.impress.co.jp/www/article/2003/0702/trend. htm – http://www.trendmicro.com/jp/security/report/report/archive/200 3/mvr0306.htm • Sobig,MSBlaster,Welchia,Swen 最近の流行 当たり前の事ですが… • 昔のような以下の三点から – 感染しなければ発病しない – 感染しない事が重要 – 自分が次の加害者にならない • 現在は – 情報をいち早く入手 – こまめにセキュリティホールを塞ぎ未然に防ぐ • (特にネットワークに晒されているマシン) – 毎日の管理 URL追加(2006年10月) • http://guardian.ne.jp/history_Virus.html • http://ken-neko.hp.infoseek.co.jp/example1.htm • http://www.cknow.com/vtutor/HistoryofViruses.h tml • http://www.cknow.com/vtutor/index.html
© Copyright 2024 ExpyDoc