computer viruses including malware and adware
DESCRIPTION
Computer Viruses including malware and adware. Kensuke Naoe Takefuji Lab. INAS Security team Last updated on April 2003. 不正アクセスなの?. セキュリティの脅威 不正アクセス 攻撃手法の多様化、ツールの機能が向上したことにより、高度な技術や知識がなくても不正アクセスが可能になった 同じような不正アクセス攻撃が増える 不正プログラム 攻撃方法がコード化されている=攻撃方法が常に同じ - PowerPoint PPT PresentationTRANSCRIPT
Computer Virusesincluding malware and adware
Kensuke NaoeTakefuji Lab.
INAS Security team
Last updated on April 2003
不正アクセスなの?
• セキュリティの脅威– 不正アクセス
• 攻撃手法の多様化、ツールの機能が向上したことにより、高度な技術や知識がなくても不正アクセスが可能になった
– 同じような不正アクセス攻撃が増える– 不正プログラム
• 攻撃方法がコード化されている=攻撃方法が常に同じ– *(コードが実行されるたびにコードの記述方法が変わるウイルスもあり)
• 2003 年現在では不正アクセスという言葉が頻繁に出てくるが、歴史的には不正プログラムのほうが古くから存在し、今でもセキュリティ上の脅威である– しかしながら近年のウイルスには不正アクセス
行為をするものもあり不正アクセス型マルウェアとも呼ばれるウイルスの分類もある。
ウイルスの発展とインターネット相関
• 1997 年~ 1999 年 CERT/CC による脆弱性報告から半年~約三ヶ月遅れで該当する脆弱性への不正アクセスが活発化
• 2000 年以降 脆弱性が報告されてからすぐに不正アクセス活動が活発化– ユーザ側の正しい認識と常に日ごろから対策を
持つことが重要• 狙われるのは、ありふれたセキュリティ上の弱点• 手口が知れると模倣版が出る• セキュリティホールはなくならない
歴史
• Virus History– http://www.cknow.com/vtutor/vthistory.htm
• ホッブズのインターネット年表– http://www.dendrocacalia.org/~common/rfc/rfc2235-
jp.txt
1990 年以前• 1970 年 Bob Thomas による ARPA ネットでのワーム
「 Creeper 」• 1970 年末 ゼロックスパルアルト研究所での実験ワーム
「 Creeper,Vampire 等」• 1981 年 最初のコンピュータウイルス「 Elk Cloner 」
– MacII のフロッピーディスクで感染し、広まっていった– http://www.skrenta.com/cloner/
• 1983 年 11 月 3 日 Fred Cohen が Virus を作成し実験が行なわれた、– ( Cohen がコンピュータウイルスの定義提唱。 Len Adleman が
Virus と命名)– http://zdnet.com.com/2100-1105_2-5106221.html
• 1984 年 このことが始めて文書化された。– ウイルスに関する最初の文書
• 1986 年 最初のトロイの木馬「 PC-Write 」 • 1986 年 パキスタンの兄弟による Brain ウイルス
– 始めてのブートセクタ感染型• 1986 年 Virdem 最初のファイル感染型のウイル
スと言われているが、、、• 1987 年 Lehigh ファイル感染型ウイルスが流行る
– 主に .com ファイルに感染( command.com )• 1987 年 Jerusalem ウイルス
– 最初の exe 感染ウイルス• 1987 年 IBM Christmas Worm
– 高速に感染するウイルス(一時間に 500,000 件)
• 1988 年 国内最初のコンピュータウイルス– NEC が主催するパソコン通信のネットワークである PC-VAN
において、 ID とパスワードを盗みそのデータを送るウィルスが電子メールを介して広がったというものです。
• 1988 年 12 月 Internet Worm 事件– バッファオーバーフロー攻撃などサーバの脆弱性を利用– Robert Morris によるワーム– インターネット経由のはじめての大きな脅威。– 沢山のコンピュータをシャットダウンした– CERT が結成されるきっかけとなった。
• 1989 年 AIDS ファイル監禁・人質型– ハードディスクを暗号化し、復号鍵がほしければ金を払うよ
う要求
1990 年代前半
• 1990 年 VX ( Virus Exchange ) BBS がブルガリアでオンラインに登場– ウイルスの作者がコードやアイデアを交換した
• 1990 年 1 月 15 日 Berferd 事件( AT&T 研究所)– AT&T の長距離交換機がダウンし、 6万人もの人々が電話
を使えなかった– 交換機のプログラムミスに合ったことが判明するが、電話システムに侵入したハッカーの仕業と疑われた
• 1990 年 Mark Ludwig が The Little Black Book of Computer Viruses を出版– Berferd 事件について扱った
• 1991 年 Tequila 初めてのポリモーフィックウイルス• 1992 年 Michaelangelo ウイルス
– 始めて世界規模に感染すると予想された(実際の感染数は少なかったららしい)
• 1992 年 DAME(Dark Avenger Mutation Engine) というツールキットによりポリモーフィックウイルスが作成容易に– http://www.cknow.com/vtutor/vtpolymorphic.htm
• 1992 年 VCL ( Virus Creation Laboratory ) 実際にウイルス生成できるキット– プルダウンメニューやペイロードが選択可能
• 1994 年 2 月 パスワード大量盗難– パケットモニタリングによる認証情報の盗聴
• 1994 年 11 月~ 12 月 最初の HOAX ウイルス「 Goodtimes 」– HOAX とはかつぐとか騙すということ。デマウ
イルスのこと
• 1995 年 1 月 ケビン・ミトニック事件– IP アドレスの偽造によるコネクションハイジャック
• 1995 年 最初のマクロウイルス「 Concept 」– Word を攻撃
• 1996 年 8 月 米国司法省Webページが改ざんされる– 1991 年に WWW がリリースされてから、 92 年にはノー
ド数が百万を越えた。 93 年では日本でもインターネットの商用利用が郵政省より許可される。 95 年 JAVA登場。
– ブッシュよりもクリントン政権は Information Technologyを早くから訴えてきた。(当選したのもそれが理由とも言われている)
– 95 年 Microsoft Windows95 TCP/IP や Internet Explorer を標準装備
– 96 年 アナログ 56kbps 通信が発表される
• 1996 年 Boza Windows95 ファイルに特化したはじめてのウイルス
• 1996 年 Laroux 最初の Excel マクロウイルス• 1996 年 Staog 最初の Linux ウイルス( Boza を書い
たグループによるもの)• 1996 年 9 月 PANIX への DoS 攻撃
– Public Access Networks Corp(PANIX) がハッカー雑誌に掲載された方法の概要を用いた、クラッカーによる繰り返しの SYN 攻撃を受けて閉鎖
– パケットレベルでの DoS 攻撃の出現( IP アドレスの偽造の活用)
• 1997 年 5 月 朝日放送のホームページの書き換え• 1997 年 7 月 ニュースサーバへの攻撃
• 1997 年 8 月 cgi-bin プログラムへの攻撃– 脆弱性探査ツールの高度化
• 1998 年 最初の JAVA ウイルス「 StrangeBrew 」• 1998 年 BackOrifice
– リモート管理ツール– インターネットを利用することでリモートからコン
ピュータを乗っ取ることが簡単に出来るようになった• 1998 年 Access マクロウイルスが出現し始める• 1999 年 3 月 Melissa ワーム
– Word マクロウイルスと Outlook 、 Outlook Express のアドレスブックを用いて電子メールで感染するワームの機能が合体
• 1999 年 Tristate– 最初のマルチプログラム対応のマクロウイルス
• Word,Excel,Powerpoint のファイルに感染
• 1999 年 Bubbleboy– 始めてメールを開くと実行する型のワーム– Outlook のメールを開けるもしくは Outlook Express
でメールをプレビューすると自動的に実行– Proof of Concept(Kak がこの手法を用いている )
• 1999 年 5 月 米政府関連Web サイトの書き換え
• 2000 年 1 月 官公庁関連Web サイトの書き換え• 2000 年 2 月 米国有名サイトへの DDoS 攻撃
– DDoS 攻撃の出現• 2000 年 5 月 LoveLetter ウイルス• 2001 年 2 月 国内複数Web サイトの書き換え• 2001 年 5 月 sadmind/IIS ワーム
– サーバの脆弱性を攻撃する不正アクセス型ウイルス• 2001 年 7 月 Sircum ウイルス• 2001 年 9 月 Nimda ワーム
– サーバ / クライアントの脆弱性を攻撃する不正アクセス型ウイルス
• マルウェア(不正アクセス型ウイルス)の時代へ
不正プログラムの種類
ウイルスの定義
• 生物ウイルスのように有機的なものではないが、その不正プログラムの動作が生物ウイルスに似ているため、コンピュータウイルスと呼ばれるようになった。
• 広義– 不正なプログラム全般
• 狭義– 以下の特徴のうちいずれかを有する不正プログラムのこと
• 感染:他のファイルにウイルス自身を付着させる• 潜伏:一定の条件が揃うのを待って悪質な行動をする• 発病:データの破壊、動作の不安定などユーザの意図しない行動をする
ここ 10 年間の届出件数の推移
国内の被害届件数の推移
14 57 253897 668 755
23912035
3645
6128
1127
0
1000
2000
3000
4000
5000
6000
7000
90年 91年 92年 93年 94年 95年 96年 97年 98年 99年 00年
件数
1998 年~ 2000 年の届出( IPA 発表)
2001 年~ 2003 年の届出( IPA発表)
過去の例:主にメールを中心に感染
2000 年の主要ウイルス– W32/MTXウイルス
• (ファイル感染型 メール機能悪用)
– 11 月に「 W32/Navidad 」• (トロイの木馬 メール機能悪用)
– 12 月には「 W32/Hybris」• (トロイの木馬 メール機能悪用)
• ウイルス対策 7 か条 http://www.ipa.go.jp/security/antivirus/7kajo.html
1999年9月7日 ウイルス対策 7 か
条• 最新のワクチンソフトを活用すること• 万一のウイルス被害に備えるためデータのバックアップを行な
うこと• ウイルスの兆候を見逃さず、ウイルス感染の可能性が考えられ
る場合ういする検査を行なうこと• メールの添付ファイルはウイルス検査後開くこと• ウイルス感染の可能性のあるファイルを扱う時は、マクロ機能
の自動実行は行なわないこと• 外部から持ち込まれた FD及びダウンロードしたファイルはウ
イルス検査ご使用すること• コンピュータの共同利用時の管理を徹底すること
• これって古い考えだよね?今当たり前にされていることだし、、、 さすが 1999 年だ。
ワームとウイルス
• 2001 年はネットワーク経由ウイルス元年といわれている– NIMDA 、 BADTRANS 、 ALIZ
• 2002 年– KLEZ(2001 年 10 月 ) 、 Bugbear 、 Opaserv 、 Redlof
• 2003年上半期のウイルス被害、 Script型や共有フォルダ経由型が増加傾向– http://internet.watch.impress.co.jp/www/article/2003/0702/trend.
htm
– http://www.trendmicro.com/jp/security/report/report/archive/2003/mvr0306.htm
• Sobig,MSBlaster,Welchia,Swen
最近の流行
当たり前の事ですが…
• 昔のような以下の三点から– 感染しなければ発病しない– 感染しない事が重要– 自分が次の加害者にならない
• 現在は– 情報をいち早く入手– こまめにセキュリティホールを塞ぎ未然に防ぐ
• (特にネットワークに晒されているマシン)
– 毎日の管理
URL追加(2006年10月)
• http://guardian.ne.jp/history_Virus.html• http://ken-neko.hp.infoseek.co.jp/example1.htm• http://www.cknow.com/vtutor/
HistoryofViruses.html• http://www.cknow.com/vtutor/index.html