エフセキュアブログ

Slammer を含む記事

XP時代の終焉

10年前に実行していたOSWindowsであれば、そのバージョンはWindows XPだったでしょう。実際には、マイクロソフトは2004年までService Pack 2をリリースしていなかったため、おそらくそれはWindows XP SP1だったはずです。これは重要なことです。というのも、Windows XP SP1では、デフォルトでファイアウォールが有効ではなく、自動更新も備わっていなかったからです。ですから、Windowsを実行していたとすれば、ファイアウォールは動作しておらず、パッチも手動で当てなければなりませんでした。

 

そのため、10年前にワームやウイルスが猛威をふるっていたのは、不思議なことではありません。実際に、当時私たちは、SlammerSasserBlasterMydoomSobigなど、過去最悪の大発生をいくつか経験しました。中には、深刻な被害をもたらしたものもありました。Slammerは、オハイオ州の原子力発電所に感染し、バンク・オブ・アメリカのATMシステムをダウンさせました。BlasterはワシントンDCの郊外で列車を立ち往生させ、カナダの空港ではエア・カナダのチェックインシステムを停止させました。また、Sasserは、ヨーロッパの複数の病院で大規模に感染しました。

 

こうしたWindowsセキュリティの問題はきわめて深刻だったため、マイクロソフトは何か手を打つ必要に迫られ、対策を講じたのです。振り返ってみると、マイクロソフトはセキュリティプロセスを劇的に改善しました。同社が始めた取り組みは、Trustworthy Computing(信頼できるコンピューティング)と呼ばれるものです。ビル・ゲイツ氏は、セキュリティに関するメモを全社員に送信しました。マイクロソフトは、一定期間、新規の開発をすべて中止して、既存製品に脆弱性がないか調査し、修正しました。現在の64ビット版Windows 8が提供するデフォルトのセキュリティレベルは、Windows XPとは比較にならないほど向上しています。

 

他社も、同じように大幅な改善を行ってきました。マイクロソフトのOSが堅牢さを増し、攻撃するのが難しくなると、攻撃者は、より簡単な標的を探し始めるようになりました。彼らのお気に入りとなった標的が、Adobe ReaderAdobe Flashです。数年にわたってアドビ製品では次々と脆弱性が発見されました。更新方法が複雑だったため、ユーザのほとんどはきわめて古い製品を実行し続けていたのです。

 

最終的に、アドビもしっかりと対応しました。今日、Adobe Reader 11などのセキュリティレベルは、以前のリーダー製品とは比較にならないほど向上しています。

 

今、戦いの場は、JavaOracleに移っています。Oracleは、まだしっかりとした対応ができていないようです。いや、その必要はないかもしれません。というのも、実際にユーザはJavaを使用しなくなっており、JavaはすでにWebから姿を消し始めているからです。

 

今日のエンドユーザシステムのセキュリティレベルは、全体的にかつてないほど高くなりました。この10年間で、劇的に改善されたのです。

 

一方で、残念ながら、この10年間で戦いの相手も完全に変わりました。10年前までは、マルウェアはすべて、ホビイストが面白半分に作るものでしたが、今ではホビイストに代わって、新たに3つのタイプの攻撃者が現れました。組織犯罪者、ハクティビスト、そして政府です。

 

犯罪者と、特に政府には、攻撃に投資する資金が十分にあります。結果として、過去10年間の劇的な改善にもかかわらず、依然として私たちはコンピュータを安心して使うことができていません。

 

しかし、少なくとも10年前と違うのは、マルウェアが原因で、2週間に1回、航空機が飛ばなかったり、列車が停止したりすることはなくなったということです。




エフセキュア
主席研究員
ミッコ・ヒッポネン


10年前

 もしあなたが10年前のコンピュータでWindowsを実行していたのなら、それはWindows XPだった.

 実際には、十中八九Windows XP SP1(サービスパック1)を走らせていた。

 これは重要なことで、Windows XP SP1はデフォルトでファイアウォールが有効になっておらず、自動更新の機能もなかった。

 ということは、Windowsを実行していたのならファイアウォールが稼働しておらず、手動でシステムにパッチをあてなければならなかったということだ。そのパッチはセキュリティ上の脆弱性に満ちたInternet Explorer 6でダウンロードした。

 それならば2003年にワームやウィルスが蔓延したのも、驚くに値しない。

 実際に、2003年には史上最悪の大発生のいくつかを目の当たりにした。Slammer、Sasser、Blaster、Mydoom、Sobig、その他もろもろだ。

 深刻なダメージを与えることになったものもあった。Slammerはオハイオ州の原子力施設で感染したし、バンク・オブ・アメリカのATMシステムを落とした。BlasterはワシントンDCの外で列車を軌道上に停止させ、カナダの空港にあるエア・カナダのチェックインシステムを落とした。Sasserはヨーロッパにあるいくつかの病院で徹底的に感染した。

 こうしたWindowsのセキュリティにまつわる問題は、マイクロソフトが手を打たなければならないほどひどかった。そしてそれは為された。

 後からわかったことだが、同社はセキュリティプロセスにおいて壮大な改良を行ったのだ。

 マイクロソフトは信頼できるコンピューティングを開始した。立ち戻って古い脆弱性の発見と修正をする間、すべての新規開発を停止したのだ。

 今日では、64ビットWindows 8のデフォルトのセキュリティレベルは、Windows XPよりずっと進んでおり、比べものにさえならない。

 我々は、ほかの会社も同じような改善を行ったのを見てきた。

 マイクロソフトの出荷が攻撃するには厳しくかつ難しくなっていき、攻撃者はより与しやすい標的を探し始めた。

 攻撃者のお気に入りはAdobe ReaderとAdobe Flashだった。数年間にわたり、アドビの製品に脆弱性が次々に見つかった。そしてアップデートも簡単ではなかったため、ほとんどのユーザはひどく旧式の製品を使っていた。最終的にはアドビも同じ行動をとった。

 今日では、たとえばAdobe Readerのセキュリティレベルは、古いバージョンのPDFリーダーよりずっと進んでおり、比べものにさえならない

 現在、目下の戦いは、Javaとオラクルに関するものだ。オラクルは今のところ同じ行動をとっていないように見える。そして、その必要もなさそうだ。 ユーザは使わないことで意思を表明しており、JavaはすでにWebから消え去っている。

 エンドユーザのシステムの全体的なセキュリティレベルは、今やかつてないほどに向上している。この10年間に、大きな改善がもたらされたのだ。

 不幸なことに、この10年間に我々の戦う相手も完全に変わった

 2003年においては、まだすべてのマルウェアは楽しむためにホビイスト達によって書かれていたものだった。こうしたホビイストは、犯罪組織だけでなく、ハクティビストや政府といった新たな攻撃者に取って代わられている。犯罪者と、特に政府はその攻撃に投資する余裕がある。

 その結果として、このような素晴らしい改善がありながらも、我々のコンピュータはいまだ安全ではない。

 しかし少なくとも、2003年のように1週間おきにマルウェアによって飛行機が飛ばず列車が止まるといったことは見なくなった。

ミッコ・ヒッポネン
GrahamCluley.com」に初掲載

Slammerワームから10周年

 以下は、10年前、我々の1月25日がどのように始まったか、である。

Jan 25 05:31:54 kernel: UDP Drop: IN=ppp0 SRC=207.61.242.67 DST=80.142.167.238 TTL=117 ID=30328 PROTO=UDP SPT=2201 DPT=1434 LEN=384

 上に抜粋したのは、我々が最初に得た、後にSlammer(SapphireまたはSQL Slammer)と呼ばれるようになるワームのログだ。

 Slammerは膨大なネットワーク・トラフィックを生み出した。以下はaverage.matrix.netの古いスクリーンショットで、このワームのせいで世界中でパケット・ロスが急増した様子を示している。

slammer

 以下は当社がこのワームについて発信した最初の警告だ:

 エフセキュアはSlammerと呼ばれる新たなインターネット・ワームについて、コンピュータ・ユーザに警告する。このワームは大量のネットワーク・パケットを生成し、インターネット・サーバに過負荷をかける。メール送信やネット閲覧などすべてのインターネット機能が低速になる。

 このワームは2003年1月25日5時30分(GMT)頃、インターネット上で初めて検知された。その後、世界中に急速に拡散し、インターネット上でこれまでで最大級の攻撃を巻き起こした。報告によると、いくつかの大規模なWebサイトやメール・サーバが使用不能に陥った。

 SlammerはMicrosoft SQL Serverを実行しているWindows 2000 Serverにのみ感染する。そのためエンド・ユーザの機器には脅威ではない。しかしながら、ネットワーク・トラフィックがブロックされることによって、やはりエンド・ユーザにもその作用が見て取れる。

 このワームはUDP 1434番ポートを用いて、MS SQL Serverのバッファ・オーバーフローを突く。Slammerのサイズは極めて小さく、376バイトに過ぎない。拡散するほかに機能はないが、この拡散処理が非常に強力で、極度の負荷を招く。

 ワームはどのファイルにも感染しないので、感染した機器をリブートするだけで駆除することができる。しかしもし機器がネットワークに接続され、MS SQL ServerにSP2もしくはSP3が適用されていなければ、直ちに再感染する。

 かつてこれほど小さなウイルスが、このような速度でここまでの損害を与えた例を、当社でも見たことがない。Slammerについての技術的な解説や図表についてはhttp://www.f-secure.com/v-descs/mssqlm.shtml
(注意:このリンクは2013年でもまだ有効だ。)で確認できる。

 Slammerはその小ささにおいて特筆すべきだ。ワーム全体が単一のUDPパケットに収まる。基本的に、ワームはつぶやき5つ分に相当する。コード全体は以下のとおり。

slammer

 この年、後にBlasterやSasserがSlammerに続いた。これらはいずれも現実世界で顕著な問題を引き起こした。

slammer

 Slammerのせいで、我々は何日も忙しかった。私の古いメール・アーカイブには、第1日目に以下の残業報告がある。

slammer

 つまり、2003年の土曜日に、Slammerをデコードしたのは、私とKatrin Tocheva、Gergely Erdelyii、Ero Carrerだった。天気が悪かったと思うが、他には何も覚えていない。

ミッコ

マルウェアとクリティカルインフラストラクチャ

  スペインの新聞「El Pais」が、「2年前マドリードで154人の命を奪ったSpanair旅客機の墜落に、コンピュータウィルスが関与していたかもしれない。」と報道している。

El Pais

  「飛行機で技術的な問題を記録したSpanairのセントラルコンピュータは、有害なコンピュータプログラムによって汚染されていたため、適切に機能していなかった」と、同紙は続けている。

  我々は、マルウェアが関与したかどうか確認する事はできないし、どのマルウェアの可能性があったのかを知ることもできない。しかし、我々は長年にわたって、コンピュータ問題により影響を受けた、現実世界のインフラストラクチャを見てきた。ほとんどの場合、それは副作用に過ぎない。すなわち、問題の背後にあるマルウェアは、システムをダウンしようとしていたわけではないが、結果的にそうなった、ということだ。

  これは2003年、現実のシステムで、マルウェアによって誘発された問題が前例のない被害をもたらした際には特にひどいものだった。主要な容疑者は、ネットワークワームSlammerおよびBlasterだった。

  Slammerに起因するネットワークの混雑は、全インターネットのネットワークトラフィックを劇的に遅くした。世界最大のATMネットワークの一つがクラッシュし、その週末ずっと停止した。多くの国際空港が、航空交通管制システムのスローダウンを報告。米国の各地で、緊急電話システムの問題が報告された。同ワームは、Davis-Besse原子力発電所の内部ネットワークへの侵入さえ果たし、原子炉の状況をモニタするコンピュータを停止させた。

  Blasterにより創出されたRPCトラフィックは、世界中で大きな問題を引き起こした。バンキングシステムやネットワーク、大規模システムインテグレータで問題が報告された。また、いくつかの航空会社で、BlasterおよびWelchiに起因するシステムの問題が報告され、フライトがキャンセルされることになった。Welchiも、Diebold製造のWindows XPベースのATMに影響を与え、その結果金融トランザクションが妨げられた。米国国務省のビザ・システムのオペレーションが破綻。鉄道会社CSXは、同ワームが列車の信号システムに干渉し、全乗客と貨物輸送のトラフィックをストップさせたと発表した。その結果、米国首都周辺のすべての通勤電車が運行不能となった。

CSX

  その週に起こった米国北東部での大停電に関し、Blasterの間接的な影響があったのではないかと多くの注目が集まった。停電調査委員会の報告によれば、停電の裏には4つの主要な理由があり、その1つはコンピュータ問題だった。我々は、これらの問題が、非常に高い割合でBlasterによって引き起こされたと考えている。

report

transcript

  たとえSlammerおよびBlasterに起因するシステム問題が、本当に考慮すべきものだったにせよ、これらがワームの副産物にすぎなかったことに注目することが大切だ。これらのワームは、単に増殖しようとしただけで、重要なシステムに影響を与えることを目的とはしていなかった。マルウェアはWindowsとは無関係だった環境に影響を及ぼした。単独で通常のオペレーションを中断させたのは、ワームに起因する大規模なネットワークトラフィックだったのだ。

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード