Computer Viruses including malware and adware

Computer Virusesincluding malware and adware

Kensuke NaoeTakefuji Lab.

INAS Security team

Last updated on April 2003

不正アクセスなの？

• セキュリティの脅威– 不正アクセス

• 攻撃手法の多様化、ツールの機能が向上したことにより、高度な技術や知識がなくても不正アクセスが可能になった

– 同じような不正アクセス攻撃が増える– 不正プログラム

• 攻撃方法がコード化されている＝攻撃方法が常に同じ– ＊（コードが実行されるたびにコードの記述方法が変わるウイルスもあり）

• 2003 年現在では不正アクセスという言葉が頻繁に出てくるが、歴史的には不正プログラムのほうが古くから存在し、今でもセキュリティ上の脅威である– しかしながら近年のウイルスには不正アクセス

行為をするものもあり不正アクセス型マルウェアとも呼ばれるウイルスの分類もある。

ウイルスの発展とインターネット相関

• 1997 年～ 1999 年　 CERT/CC による脆弱性報告から半年～約三ヶ月遅れで該当する脆弱性への不正アクセスが活発化

• 2000 年以降　脆弱性が報告されてからすぐに不正アクセス活動が活発化– ユーザ側の正しい認識と常に日ごろから対策を

持つことが重要• 狙われるのは、ありふれたセキュリティ上の弱点• 手口が知れると模倣版が出る• セキュリティホールはなくならない

歴史

• Virus History– http://www.cknow.com/vtutor/vthistory.htm

• ホッブズのインターネット年表– http://www.dendrocacalia.org/~common/rfc/rfc2235-

jp.txt

1990 年以前• 1970 年　 Bob Thomas による ARPA ネットでのワーム

「 Creeper 」• 1970 年末　ゼロックスパルアルト研究所での実験ワーム

「 Creeper,Vampire 等」• 1981 年　最初のコンピュータウイルス「 Elk Cloner 」

– MacII のフロッピーディスクで感染し、広まっていった– http://www.skrenta.com/cloner/

• 1983 年 11 月 3 日　 Fred Cohen が Virus を作成し実験が行なわれた、– （ Cohen がコンピュータウイルスの定義提唱。 Len Adleman が

Virus と命名）– http://zdnet.com.com/2100-1105_2-5106221.html

• 1984 年　このことが始めて文書化された。– ウイルスに関する最初の文書

• 1986 年　最初のトロイの木馬「 PC-Write 」 • 1986 年　パキスタンの兄弟による Brain ウイルス

– 始めてのブートセクタ感染型• 1986 年　 Virdem 　最初のファイル感染型のウイル

スと言われているが、、、• 1987 年　 Lehigh 　ファイル感染型ウイルスが流行る

– 主に .com ファイルに感染（ command.com ）• 1987 年　 Jerusalem ウイルス

– 最初の exe 感染ウイルス• 1987 年　 IBM Christmas Worm

– 高速に感染するウイルス（一時間に 500,000 件）

• 1988 年　国内最初のコンピュータウイルス– NEC が主催するパソコン通信のネットワークである PC-VAN

において、 ID とパスワードを盗みそのデータを送るウィルスが電子メールを介して広がったというものです。

• 1988 年 12 月　 Internet Worm 事件– バッファオーバーフロー攻撃などサーバの脆弱性を利用– Robert Morris によるワーム– インターネット経由のはじめての大きな脅威。– 沢山のコンピュータをシャットダウンした– CERT が結成されるきっかけとなった。

• 1989 年　 AIDS 　ファイル監禁・人質型– ハードディスクを暗号化し、復号鍵がほしければ金を払うよ

う要求

1990 年代前半

• 1990 年　 VX （ Virus Exchange ） BBS がブルガリアでオンラインに登場– ウイルスの作者がコードやアイデアを交換した

• 1990 年 1 月 15 日　 Berferd 事件（ AT&T 研究所）– AT&T の長距離交換機がダウンし、 6万人もの人々が電話

を使えなかった– 交換機のプログラムミスに合ったことが判明するが、電話システムに侵入したハッカーの仕業と疑われた

• 1990 年　 Mark Ludwig が The Little Black Book of Computer Viruses を出版– Berferd 事件について扱った

• 1991 年　 Tequila 　初めてのポリモーフィックウイルス• 1992 年　 Michaelangelo ウイルス

– 始めて世界規模に感染すると予想された（実際の感染数は少なかったららしい）

• 1992 年　 DAME(Dark Avenger Mutation Engine) というツールキットによりポリモーフィックウイルスが作成容易に– http://www.cknow.com/vtutor/vtpolymorphic.htm

• 1992 年　 VCL （ Virus Creation Laboratory 　）実際にウイルス生成できるキット– プルダウンメニューやペイロードが選択可能

• 1994 年 2 月　パスワード大量盗難– パケットモニタリングによる認証情報の盗聴　

• 1994 年 11 月～ 12 月　最初の HOAX ウイルス「 Goodtimes 」– HOAX とはかつぐとか騙すということ。デマウ

イルスのこと

• 1995 年 1 月　ケビン・ミトニック事件– IP アドレスの偽造によるコネクションハイジャック

• 1995 年　最初のマクロウイルス「 Concept 」– Word を攻撃

• 1996 年 8 月　米国司法省Webページが改ざんされる– 1991 年に WWW がリリースされてから、 92 年にはノー

ド数が百万を越えた。 93 年では日本でもインターネットの商用利用が郵政省より許可される。 95 年 JAVA登場。

– ブッシュよりもクリントン政権は Information Technologyを早くから訴えてきた。（当選したのもそれが理由とも言われている）

– 95 年　 Microsoft Windows95 TCP/IP や Internet Explorer を標準装備

– 96 年　アナログ 56kbps 通信が発表される

• 1996 年　 Boza 　 Windows95 ファイルに特化したはじめてのウイルス

• 1996 年　 Laroux 　最初の Excel マクロウイルス• 1996 年　 Staog 　最初の Linux ウイルス（ Boza を書い

たグループによるもの）• 1996 年 9 月　 PANIX への DoS 攻撃

– Public Access Networks Corp(PANIX) がハッカー雑誌に掲載された方法の概要を用いた、クラッカーによる繰り返しの SYN 攻撃を受けて閉鎖

– パケットレベルでの DoS 攻撃の出現（ IP アドレスの偽造の活用）

• 1997 年 5 月　朝日放送のホームページの書き換え• 1997 年 7 月　ニュースサーバへの攻撃

• 1997 年 8 月　 cgi-bin プログラムへの攻撃– 脆弱性探査ツールの高度化

• 1998 年　最初の JAVA ウイルス「 StrangeBrew 」• 1998 年　 BackOrifice

– リモート管理ツール– インターネットを利用することでリモートからコン

ピュータを乗っ取ることが簡単に出来るようになった• 1998 年　 Access マクロウイルスが出現し始める• 1999 年 3 月　 Melissa ワーム

– Word マクロウイルスと Outlook 、 Outlook Express のアドレスブックを用いて電子メールで感染するワームの機能が合体

• 1999 年　 Tristate– 最初のマルチプログラム対応のマクロウイルス

• Word,Excel,Powerpoint のファイルに感染

• 1999 年　 Bubbleboy– 始めてメールを開くと実行する型のワーム– Outlook のメールを開けるもしくは Outlook Express

でメールをプレビューすると自動的に実行– Proof of Concept(Kak がこの手法を用いている )

• 1999 年 5 月　米政府関連Web サイトの書き換え

• 2000 年 1 月　官公庁関連Web サイトの書き換え• 2000 年 2 月　米国有名サイトへの DDoS 攻撃

– DDoS 攻撃の出現• 2000 年 5 月　 LoveLetter ウイルス• 2001 年 2 月　国内複数Web サイトの書き換え• 2001 年 5 月　 sadmind/IIS ワーム

– サーバの脆弱性を攻撃する不正アクセス型ウイルス• 2001 年 7 月　 Sircum ウイルス• 2001 年 9 月　 Nimda ワーム

– サーバ / クライアントの脆弱性を攻撃する不正アクセス型ウイルス

• マルウェア（不正アクセス型ウイルス）の時代へ

不正プログラムの種類

ウイルスの定義

• 生物ウイルスのように有機的なものではないが、その不正プログラムの動作が生物ウイルスに似ているため、コンピュータウイルスと呼ばれるようになった。

• 広義– 不正なプログラム全般

• 狭義– 以下の特徴のうちいずれかを有する不正プログラムのこと

• 感染：他のファイルにウイルス自身を付着させる• 潜伏：一定の条件が揃うのを待って悪質な行動をする• 発病：データの破壊、動作の不安定などユーザの意図しない行動をする

ここ 10 年間の届出件数の推移

国内の被害届件数の推移

14 57 253897 668 755

23912035

3645

6128

1127

0

1000

2000

3000

4000

5000

6000

7000

90年 91年 92年 93年 94年 95年 96年 97年 98年 99年 00年

件数

1998 年～ 2000 年の届出（ IPA 発表）

2001 年～ 2003 年の届出（ IPA発表）

過去の例：主にメールを中心に感染

2000 年の主要ウイルス– Ｗ３２／ＭＴＸウイルス

• （ファイル感染型メール機能悪用）

– 11 月に「 W32/Navidad 」• （トロイの木馬メール機能悪用）

– 12 月には「 W32/Ｈｙｂｒｉｓ」• （トロイの木馬メール機能悪用）

• ウイルス対策 7 か条 http://www.ipa.go.jp/security/antivirus/7kajo.html

１９９９年９月７日　　　　　　　　　　　ウイルス対策 7 か

条• 最新のワクチンソフトを活用すること• 万一のウイルス被害に備えるためデータのバックアップを行な

うこと• ウイルスの兆候を見逃さず、ウイルス感染の可能性が考えられ

る場合ういする検査を行なうこと• メールの添付ファイルはウイルス検査後開くこと• ウイルス感染の可能性のあるファイルを扱う時は、マクロ機能

の自動実行は行なわないこと• 外部から持ち込まれた FD及びダウンロードしたファイルはウ

イルス検査ご使用すること• コンピュータの共同利用時の管理を徹底すること

• これって古い考えだよね？今当たり前にされていることだし、、、　　さすが 1999 年だ。

ワームとウイルス

• 2001 年はネットワーク経由ウイルス元年といわれている– NIMDA 、 BADTRANS 、 ALIZ

• 2002 年– KLEZ(2001 年 10 月 ) 、 Bugbear 、 Opaserv 、 Redlof

• 2003年上半期のウイルス被害、 Script型や共有フォルダ経由型が増加傾向– http://internet.watch.impress.co.jp/www/article/2003/0702/trend.

htm

– http://www.trendmicro.com/jp/security/report/report/archive/2003/mvr0306.htm

• Sobig,MSBlaster,Welchia,Swen

Computer Viruses including malware and adware

Documents

Transcript of Computer Viruses including malware and adware