研究者ら、Wittyワームの感染源を特定--セキュリティ企業内部者の犯行か

Joris Evers(CNET News.com)

2005-05-27 12:41

 Wittyワームがわずか75分で世界中のサーバ1万2000台に感染したという1年前の事件について、研究者らはワームの出所を突き止めたことを明らかにした。研究者らは、攻撃がセキュリティ対策企業内部の者による犯行であった可能性があるとしている。

 RealSecureやBlackIceなどInternet Security Systems(ISS)製製品の欠陥を悪用するWittyワームは2004年3月19日に出現した。その攻撃内容は、システムのハードディスク内の情報を破壊するという悪質なもので、Wittyは感染したシステムの半数近くをクラッシュさせた。

 先頃、国際コンピュータ科学研究所(International Computer Science Institute:ICSI)の研究者Vern PaxsonとNicholas Weaver、およびジョージア工科大学の学生Abhishek Kumarが、Wittyに関する新たな情報をまとめた。

 Paxsonらは、Wittyのコードに関する知識と、ターゲット選定に使用する乱数発生器を組み合わせて、同ワームがインターネット上に広まった状況を再現した。

 Paxsonらは、ワームの出所が欧州のインターネットサービスプロバイダ(ISP)のサーバで、ワームのターゲットとして米軍基地のシステムが設定されていた可能性が最も高いことを発見した。

 「われわれが知る限り、感染源のシステムが特定されたのは今回が初めてだ」とPaxsonらは今週オンラインで公開したレポートに記している。同レポートによると、Paxsonらは感染源サーバのIPアドレスを警察に伝えているという。(レポートのPDFファイルはこちら

 Paxsonらは、ISSの内部の者がWittyを作成したのではないかと疑っている。レポートによると、ワームが急速にまん延したのは、脆弱なシステム110台を記した「ターゲットリスト」のおかげだという。これらの110台は、ワームが放たれた後10秒以内に、これに感染した。これら110台は全て同じ米軍基地に存在していたことも、今回の調査で判明した。

 「したがって、攻撃者はこの米軍基地にISS製品が導入されているのを知っていたと推測できる」とPaxsonらは記している。さらに、攻撃者はISS製品の脆弱性を知っていて、ワームをすばやく作成することができた可能性が高い。このことから「攻撃者はISS内部の人間であることが示唆される」とレポートには書かれている。

この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]