メディアの扱いの大きさでは,ワーム「Witty」はそれほど成功しなかった。Blaster,SQL Slammer,Nimda,そしてSasserさえも,Wittyよりは大きく報道された。Wittyは約1万2000台のコンピュータに感染しただけだし,ホーム・ユーザーのコンピュータはほとんど被害を受けていない。このことから,Wittyの影響は小さかったように見える。
ところが,Wittyは大きな問題だった。恐ろしいマルウエア(悪意のあるプログラム)であり,今後出現が予想されるマルウエアの先駆け的存在になる。IT専門家はWittyとその動作について理解しておく必要がある。
Wittyは特定のセキュリティ製品を標的にした初のワームである。米Internet Security Systems(ISS)の「BlackICE」と「RealSecure」を狙った。これらのあるバージョンが動作しているコンピュータだけに感染し,破壊活動を行う。
Wittyは大きな“成功”を収めた。標的となりうる脆弱性があるコンピュータは1万2000台,そのすべてに45分で感染を広げた。数の限られた特定の標的をあっという間に壊滅させた初のワームなのだ。これまで,数の限られた標的を狙うワーム――例えば,ScalperやSlapper――というのは,極めてゆっくりと感染を広げるものだった。
Wittyは出現するのも早かった。Witty出現までの経緯は次の通り。セキュリティ企業の米eEye Digital Securityは3月8日,(Wittyが悪用する)BlackICE/RealSecureの脆弱性を公表。ISS社は翌3月9日に脆弱性を修正したバージョンをリリースした。そして,eEye社はその脆弱性に関する詳しい情報を3月18日に公開した。Wittyが出現したのは3月19日の夜のこと。eEye社の情報公開から約36時間後に出現したのだ。
しかも,Wittyはよく作られている。サイズは700バイトにも満たない。自分自身をばら撒く際に乱数を使用することで,それまでのワームが抱えていた多くの問題を回避した。具体的には,Wittyはランダムなあて先ポートを選び,ランダムなIPアドレスに自分自身を送りつけて感染を広げる。あて先ポート番号をランダムにすることで,ファイアウオールをすり抜けやすくするのだ。そして,これが最も重要なのだが,Wittyにはバグがなかった。つまり,作者はワームを撒く前にきちんとテストしていたのだ。
Wittyを撒く方法も“賢かった”。既にWiityに感染しているコンピュータ約100台で構成した“ボット・ネットワーク(bot network)”を介して広めたのだ。この手法は以前CRYTPTO-GRAMでも取り上げたが,実際に使ったワームはWittyが初めてだ。このような手法が狡猾な感染方法と相まって,感染可能なコンピュータすべてに45分で感染した。
Wittyは極めて悪質だった。感染対象のコンピュータを“破壊”するワームとしては,初めての広く感染したワームだった。しかも,それをとてもうまくやった。ワームは,ハード・ディスク上の64Kバイトのチャンク・データを消去し,ワームの感染速度を大きく落とすことなく,感染コンピュータに直ちに被害を与えた。
以上のことから,何が分かるだろう? ワームの作者は賢く,経験豊富なプログラマであることに間違いない。Wittyはこれだけのレベルの技術と悪意を併せ持つ初のワームだった。作者は悪用する脆弱性に関して高い知識を持っていたか(ISS社のパッチをリバース・エンジニアリングしてはいなさそうだ),とても素早く“仕事”をしたのだ。あらかじめワームを作っておき,最後にぎりぎりのタイミングで脆弱性を突くコードを仕込んだのかもしれない。いずれにしろ,ISS社を故意に狙ったようだ。感染を大きく広げることが目的だったなら,もっと一般的な脆弱性が見つかるのを待つことができたし,複数の脆弱性を利用することもできた。作者が選んだ脆弱性は,特定の標的に最大の被害を与えるよう最適化されていた。狙いがISS社だったのか,それともISS社製品の特定ユーザーだったのか――それについては分からない。
Wittyはまったく新しいタイプのマルウエアだ。仮に,感染手段として一般的なWindowsの脆弱性を悪用していたら,我々がこれまで経験したことのない大きな被害を引き起こすワームになっていただろう。ワームの作者はそれぞれ別の作者の手法を学ぶものだ。ほかのワーム作者が逆アセンブルしたコードを見て,今後作成するワームに流用するだろう。我々はそのような事態を想定しておく必要がある。さらに悪いことに,Wittyの作者はまだ見つかっていない。Wittyの作者が同じようなことを繰り返す可能性も考えておかなければならない。
<http://www.icsi.berkeley.edu/~nweaver/login_witty.txt>
<http://www.securityfocus.com/printable/columnists/232>
Computerworldに掲載されたオリジナル記事:
<http://www.computerworld.com/securitytopics/...>
Copyright (c) 2004 by Bruce Schneier.
◆オリジナル記事「The Witty Worm」
◆「CRYPTO-GRAM June 15, 2004」
◆「CRYPTO-GRAM June 15, 2004」日本語訳ページ
◆「CRYPTO-GRAM」日本語訳のバックナンバー・ページ
◆この記事は,Bruce Schneier氏の許可を得て,同氏が執筆および発行するフリーのニュース・レター「CRYPTO-GRAM」の記事を抜粋して日本語化したものです。
◆オリジナルの記事は,「Crypto-Gram Back Issues」でお読みいただけます。CRYPTO-GRAMの購読は「Crypto-Gram Newsletter」のページから申し込めます。
◆日本語訳のバックナンバーは「Crypto-Gram日本語訳」のページからお読みいただけます。