Document

Computer Viruses
including malware and adware
Kensuke Naoe
Takefuji Lab.
INAS Security team
Last updated on April 2003
不正アクセスなの?
• セキュリティの脅威
– 不正アクセス
• 攻撃手法の多様化、ツールの機能が向上したことにより、高度な
技術や知識がなくても不正アクセスが可能になった
– 同じような不正アクセス攻撃が増える
– 不正プログラム
• 攻撃方法がコード化されている=攻撃方法が常に同じ
– *(コードが実行されるたびにコードの記述方法が変わるウイルスも
あり)
• 2003年現在では不正アクセスという言葉が頻繁
に出てくるが、歴史的には不正プログラムのほ
うが古くから存在し、今でもセキュリティ上の脅
威である
– しかしながら近年のウイルスには不正アクセス行為
をするものもあり不正アクセス型マルウェアとも呼ば
れるウイルスの分類もある。
ウイルスの発展とインターネット相関
• 1997年~1999年 CERT/CCによる脆弱性報告
から半年~約三ヶ月遅れで該当する脆弱性へ
の不正アクセスが活発化
• 2000年以降 脆弱性が報告されてからすぐに不
正アクセス活動が活発化
– ユーザ側の正しい認識と常に日ごろから対策を持つ
ことが重要
• 狙われるのは、ありふれたセキュリティ上の弱点
• 手口が知れると模倣版が出る
• セキュリティホールはなくならない
歴史
• Virus History
– http://www.cknow.com/vtutor/vthistory.htm
• ホッブズのインターネット年表
– http://www.dendrocacalia.org/~common/rfc/rfc2235jp.txt
1990年以前
• 1970年 Bob ThomasによるARPAネットでのワーム
「Creeper」
• 1970年末 ゼロックスパルアルト研究所での実験ワー
ム「Creeper,Vampire等」
• 1981年 最初のコンピュータウイルス「Elk Cloner」
– MacIIのフロッピーディスクで感染し、広まっていった
– http://www.skrenta.com/cloner/
• 1983年11月3日 Fred CohenがVirusを作成し実験が行
なわれた、
– (Cohenがコンピュータウイルスの定義提唱。Len Adlemanが
Virusと命名)
– http://zdnet.com.com/2100-1105_2-5106221.html
• 1984年 このことが始めて文書化された。
– ウイルスに関する最初の文書
• 1986年 最初のトロイの木馬「PC-Write」
• 1986年 パキスタンの兄弟によるBrainウイルス
– 始めてのブートセクタ感染型
• 1986年 Virdem 最初のファイル感染型のウイルスと言
われているが、、、
• 1987年 Lehigh ファイル感染型ウイルスが流行る
– 主に.comファイルに感染(command.com)
• 1987年 Jerusalemウイルス
– 最初のexe感染ウイルス
• 1987年 IBM Christmas Worm
– 高速に感染するウイルス(一時間に500,000件)
• 1988年 国内最初のコンピュータウイルス
– NECが主催するパソコン通信のネットワークであるPC-VANに
おいて、IDとパスワードを盗みそのデータを送るウィルスが電
子メールを介して広がったというものです。
• 1988年12月 Internet Worm事件
–
–
–
–
–
バッファオーバーフロー攻撃などサーバの脆弱性を利用
Robert Morrisによるワーム
インターネット経由のはじめての大きな脅威。
沢山のコンピュータをシャットダウンした
CERTが結成されるきっかけとなった。
• 1989年 AIDS ファイル監禁・人質型
– ハードディスクを暗号化し、復号鍵がほしければ金を払うよう要
求
1990年代前半
• 1990年 VX(Virus Exchange)BBSがブルガリアでオン
ラインに登場
– ウイルスの作者がコードやアイデアを交換した
• 1990年1月15日 Berferd事件(AT&T研究所)
– AT&Tの長距離交換機がダウンし、6万人もの人々が電話を使
えなかった
– 交換機のプログラムミスに合ったことが判明するが、電話シス
テムに侵入したハッカーの仕業と疑われた
• 1990年 Mark LudwigがThe Little Black Book of
Computer Virusesを出版
– Berferd事件について扱った
• 1991年 Tequila 初めてのポリモーフィックウイルス
• 1992年 Michaelangeloウイルス
– 始めて世界規模に感染すると予想された(実際の感染数は少
なかったららしい)
• 1992年 DAME(Dark Avenger Mutation Engine)という
ツールキットによりポリモーフィックウイルスが作成容易
に
– http://www.cknow.com/vtutor/vtpolymorphic.htm
• 1992年 VCL(Virus Creation Laboratory) 実際にウイ
ルス生成できるキット
– プルダウンメニューやペイロードが選択可能
• 1994年2月 パスワード大量盗難
– パケットモニタリングによる認証情報の盗聴
• 1994年11月~12月 最初のHOAXウイルス
「Goodtimes」
– HOAXとはかつぐとか騙すということ。デマウイルス
のこと
• 1995年1月 ケビン・ミトニック事件
– IPアドレスの偽造によるコネクションハイジャック
• 1995年 最初のマクロウイルス「Concept」
– Wordを攻撃
• 1996年8月 米国司法省Webページが改ざんされる
– 1991年にWWWがリリースされてから、92年にはノード数が百
万を越えた。93年では日本でもインターネットの商用利用が郵
政省より許可される。95年JAVA登場。
– ブッシュよりもクリントン政権はInformation Technologyを早くか
ら訴えてきた。(当選したのもそれが理由とも言われている)
– 95年 Microsoft Windows95 TCP/IPやInternet Explorerを標準
装備
– 96年 アナログ56kbps通信が発表される
• 1996年 Boza Windows95ファイルに特化したはじめて
のウイルス
• 1996年 Laroux 最初のExcelマクロウイルス
• 1996年 Staog 最初のLinuxウイルス(Bozaを書いたグ
ループによるもの)
• 1996年9月 PANIXへのDoS攻撃
– Public Access Networks Corp(PANIX)がハッカー雑誌に掲載さ
れた方法の概要を用いた、クラッカーによる繰り返しのSYN攻
撃を受けて閉鎖
– パケットレベルでのDoS攻撃の出現(IPアドレスの偽造の活用)
• 1997年5月 朝日放送のホームページの書き換え
• 1997年7月 ニュースサーバへの攻撃
• 1997年8月 cgi-binプログラムへの攻撃
– 脆弱性探査ツールの高度化
• 1998年 最初のJAVAウイルス「StrangeBrew」
• 1998年 BackOrifice
– リモート管理ツール
– インターネットを利用することでリモートからコンピュータを乗っ
取ることが簡単に出来るようになった
• 1998年 Accessマクロウイルスが出現し始める
• 1999年3月 Melissaワーム
– WordマクロウイルスとOutlook、Outlook Expressのアドレスブッ
クを用いて電子メールで感染するワームの機能が合体
• 1999年 Tristate
– 最初のマルチプログラム対応のマクロウイルス
• Word,Excel,Powerpointのファイルに感染
• 1999年 Bubbleboy
– 始めてメールを開くと実行する型のワーム
– Outlookのメールを開けるもしくはOutlook Expressで
メールをプレビューすると自動的に実行
– Proof of Concept(Kakがこの手法を用いている)
• 1999年5月 米政府関連Webサイトの書き換え
• 2000年1月 官公庁関連Webサイトの書き換え
• 2000年2月 米国有名サイトへのDDoS攻撃
– DDoS攻撃の出現
• 2000年5月 LoveLetterウイルス
• 2001年2月 国内複数Webサイトの書き換え
• 2001年5月 sadmind/IISワーム
– サーバの脆弱性を攻撃する不正アクセス型ウイルス
• 2001年7月 Sircumウイルス
• 2001年9月 Nimdaワーム
– サーバ/クライアントの脆弱性を攻撃する不正アクセス型ウイル
ス
• マルウェア(不正アクセス型ウイルス)の時代へ
不正プログラムの種類
ウイルスの定義
• 生物ウイルスのように有機的なものではないが、その不
正プログラムの動作が生物ウイルスに似ているため、コ
ンピュータウイルスと呼ばれるようになった。
• 広義
– 不正なプログラム全般
• 狭義
– 以下の特徴のうちいずれかを有する不正プログラムのこと
• 感染:他のファイルにウイルス自身を付着させる
• 潜伏:一定の条件が揃うのを待って悪質な行動をする
• 発病:データの破壊、動作の不安定などユーザの意図しない
行動をする
ここ10年間の届出件数の推移
国内の被害届件数の推移
7000
6128
6000
件数
5000
3645
4000
2391
3000
2000
1000
897
14
57 253
1127
2035
668 755
0
90年 91年 92年 93年 94年 95年 96年 97年 98年 99年 00年
1998年~2000年の届出(IPA発表)
2001年~2003年の届出(IPA発表)
過去の例:主にメールを中心に感染
2000年の主要ウイルス
– W32/MTXウイルス
• (ファイル感染型 メール機能悪用)
– 11月に「W32/Navidad」
• (トロイの木馬 メール機能悪用)
– 12月には「W32/Hybris」
• (トロイの木馬 メール機能悪用)
• ウイルス対策7か条
http://www.ipa.go.jp/security/antivirus/7kajo.html
1999年9月7日
ウイルス対策7か条
• 最新のワクチンソフトを活用すること
• 万一のウイルス被害に備えるためデータのバックアップを行なうこ
と
• ウイルスの兆候を見逃さず、ウイルス感染の可能性が考えられる
場合ういする検査を行なうこと
• メールの添付ファイルはウイルス検査後開くこと
• ウイルス感染の可能性のあるファイルを扱う時は、マクロ機能の自
動実行は行なわないこと
• 外部から持ち込まれたFD及びダウンロードしたファイルはウイルス
検査ご使用すること
• コンピュータの共同利用時の管理を徹底すること
• これって古い考えだよね?今当たり前にされていることだし、、、
さすが1999年だ。
ワームとウイルス
• 2001年はネットワーク経由ウイルス元年といわれている
– NIMDA、BADTRANS、ALIZ
• 2002年
– KLEZ(2001年10月)、Bugbear、Opaserv、Redlof
• 2003年上半期のウイルス被害、Script型や共有フォル
ダ経由型が増加傾向
– http://internet.watch.impress.co.jp/www/article/2003/0702/trend.
htm
– http://www.trendmicro.com/jp/security/report/report/archive/200
3/mvr0306.htm
• Sobig,MSBlaster,Welchia,Swen
最近の流行
当たり前の事ですが…
• 昔のような以下の三点から
– 感染しなければ発病しない
– 感染しない事が重要
– 自分が次の加害者にならない
• 現在は
– 情報をいち早く入手
– こまめにセキュリティホールを塞ぎ未然に防ぐ
• (特にネットワークに晒されているマシン)
– 毎日の管理
URL追加(2006年10月)
• http://guardian.ne.jp/history_Virus.html
• http://ken-neko.hp.infoseek.co.jp/example1.htm
• http://www.cknow.com/vtutor/HistoryofViruses.h
tml
• http://www.cknow.com/vtutor/index.html