コンピュータワーム
ブラスターワーム16進ダンプ。ワームの作成者がマイクロソフトCEOのビル・ゲイツに残したメッセージを表示している。
Confickerワームの拡散

コンピュータワームは、他のコンピュータに拡散するために自己複製するスタンドアロンのマルウェアコンピュータプログラムです。 [ 1 ]多くの場合、コンピュータネットワークを使用して拡散し、標的のコンピュータのセキュリティ上の欠陥を利用してアクセスします。このマシンをホストとして使用し、他のコンピュータをスキャンして感染します。これらの新しいワームに侵入したコンピュータが制御されると、ワームはこれらのコンピュータをホストとして使用して他のコンピュータのスキャンと感染を継続し、この動作が継続されます。[ 2 ]コンピュータワームは、再帰的な方法を使用してホストプログラムなしで自分自身を複製し、指数関数的成長の利点を利用して自分自身を配布し、短期間でより多くのコンピュータを制御および感染します。[ 3 ]ワームは、帯域幅を消費するだけであっても、ほとんどの場合、ネットワークに少なくとも何らかの損害を与えますが、ウイルスはほとんどの場合、標的のコンピュータ上のファイルを破損または変更します。

多くのワームは拡散のみを目的として設計されており、通過したシステムを変更しようとはしません。しかし、MorrisワームMydoomが示したように、こうした「ペイロードフリー」のワームであっても、ネットワークトラフィックの増加やその他の意図しない影響によって大きな混乱を引き起こす可能性があります。

歴史

史上初のコンピュータワームは、 1971年にBBNのレイ・トムリンソンとボブ・トーマスによってARPANETを介して自己複製するために作成されたクリーパーの自己複製バージョンであると一般的に認められています。[ 4 ] [ 5 ]トムリンソンは、クリーパープログラムを削除するために、リーパーと呼ばれる最初のウイルス対策ソフトウェアも考案しました。

「ワーム」という言葉が初めてこの意味で使われたのは、ジョン・ブルナーの1975年の小説『ショックウェーブ・ライダー』です。この小説の中で、ニコラス・ハフリンガーは、大衆の同調を促す国家規模の電子情報網を運営する権力者への復讐として、データ収集ワームを設計し、起動させます。「史上最大のワームが網の中に放たれ、監視しようとするあらゆる試みを自動的に妨害する。これほど頑丈な頭とこれほど長い尾を持つワームはかつてなかった!」[ 6 ]「その時、彼は答えに気づき、思わず笑ってしまった。フラックナーは、最も古い手口の一つに頼り、大陸のネットワークに自己増殖するサナダムシを解き放ったのだ。おそらく大企業から「借り受けた」告発グループが率いており、彼のクレジットカード番号がキーボードに入力されるたびに、そのサナダムシは次々と別のネットワークへと移動していく。このようなサナダムシを駆除するには数日、時には数週間かかることもあった。」[ 6 ]

ゼロックスPARCは1979年に分散コンピューティングのための「ワーム」プログラムの使用を研究していました。[ 7 ]

1988年11月2日、コーネル大学のコンピュータサイエンスの大学院生だったロバート・タッパン・モリスは、後にモリスワームとして知られるようになるものを放出し、当時インターネットに接続されていた多数のコンピュータを混乱に陥れました。その数は、当時接続されていた全コンピュータの10分の1と推定されていました。[ 8 ]モリスの控訴手続き中、米国控訴裁判所は、各インストールからワームを除去するコストを200ドルから53,000ドルと見積もりました。この作業がCERTコーディネーションセンター[ 9 ]とPhageメーリングリストの設立を促しました。[ 10 ]モリス自身は、1986年のコンピュータ詐欺および濫用防止法の下で裁判にかけられ、有罪判決を受けた最初の人物となりました。[ 11 ]

2008年に発見されたコンピュータワーム、コンフィッカーは、主にMicrosoft Windowsオペレーティングシステムを標的とし、ローカルプロービング、ネイバーフッドプロービング、グローバルプロービングという3つの異なる拡散戦略を採用しています。[ 12 ]このワームはハイブリッド型の感染と考えられ、数百万台のコンピュータに影響を与えました。「ハイブリッド型感染」という用語が使われているのは、コード解析によって発見された、3つの異なる拡散手法を採用していたためです。[ 13 ]

特徴

独立

コンピュータウイルスは一般的にホストプログラムを必要とする。[ 14 ]ウイルスはホストプログラムに独自のコードを書き込みます。プログラムが実行される際、書き込まれたウイルスプログラムが最初に実行され、感染と被害を引き起こします。一方、ワームは独立したプログラムまたはコードチャンクであるため、ホストプログラムを必要としません。したがって、ホストプログラムによって制限されることなく、独立して動作し、積極的に攻撃を行うことができます。[ 15 ] [ 16 ]

エクスプロイト攻撃

ワームはホストプログラムに制限されないため、様々なオペレーティングシステムの脆弱性を悪用して能動的な攻撃を実行できます。例えば、「Nimda」ウイルスは脆弱性を悪用して 攻撃を行います。

複雑

一部のワームはウェブページのスクリプトと組み合わされ、VBScriptActiveXなどの技術を用いてHTMLページに潜伏します。ユーザーがウイルスを含むウェブページにアクセスすると、ウイルスは自動的にメモリ内に常駐し、起動を待ちます。また、「 Code Red 」のように、バックドアプログラムやトロイの木馬と組み合わされたワームも存在します。[ 17 ]

伝染性

ワームは従来のウイルスよりも感染力が強く、ローカルコンピュータだけでなく、そのコンピュータを基盤としたネットワーク上のすべてのサーバーやクライアントにも感染します。ワームは共有フォルダ電子メール[ 18 ] 、悪意のあるウェブページ、そしてネットワーク上の多数の脆弱性を持つサーバーを介して容易に拡散します。[ 19 ]

危害

ワームの拡散以上の目的のために設計されたコードは、通常「ペイロード」と呼ばれます。典型的な悪意のあるペイロードには、ホストシステム上のファイルの削除(例:ExploreZipワーム)、ランサムウェア攻撃におけるファイルの暗号化(例:WannaCryワーム)、機密文書やパスワードなどのデータの窃取などがあります。 [ 20 ]

一部のワームはバックドアをインストールする場合があります。これにより、ワーム作成者はコンピュータを「ゾンビ」として遠隔操作できるようになります。このようなマシンのネットワークはボットネットと呼ばれることが多く、スパムの送信やDoS攻撃の実行など、様々な悪意のある目的に広く利用されています。[ 21 ] [ 22 ] [ 23 ]

一部の特殊なワームは、標的を絞って産業システムを攻撃します。Stuxnet、標的がインターネットのような信頼できないネットワークに接続されていないため、主にLANや感染したUSBメモリを介して拡散しました。このウイルスは、世界各国の化学、発電、送電会社で使用されている中核的な生産管理コンピュータソフトウェアを破壊する可能性があり、Stuxnetのケースでは、イラン、インドネシア、インドが最も大きな被害を受けました。このウイルスは、工場内の他の機器に「命令」を出し、その命令が検知されないように隠蔽するために使用されました。Stuxnetは、WindowsシステムとSiemens SIMATICWinCCシステムの複数の脆弱性と4つの異なるゼロデイエクスプロイト(例: [1])を利用して、産業機械の組み込みプログラマブルロジックコントローラを攻撃しました。これらのシステムはネットワークとは独立して動作しますが、オペレーターがウイルスに感染したドライブをシステムのUSBインターフェースに挿入すると、ウイルスは他の操作要件やプロンプトなしにシステムを制御できるようになります。[ 24 ] [ 25 ] [ 26 ]

対策

ワームはオペレーティングシステムの脆弱性を悪用して拡散します。セキュリティ上の問題を抱えるベンダーは定期的にセキュリティアップデートを提供しています[ 27 ](「Patch Tuesday」参照)。これらのアップデートがマシンにインストールされていれば、ほとんどのワームは拡散できません。ベンダーがセキュリティパッチをリリースする前に脆弱性が明らかになった場合、ゼロデイ攻撃が発生する可能性があります。

ユーザーは、予期せぬメールを開く際には注意が必要です。[ 28 ] [ 29 ]また、添付ファイルやプログラムを実行したり、そのようなメールにリンクされているウェブサイトにアクセスしたりしないでください。しかし、ILOVEYOUワームの場合と同様に、フィッシング攻撃の規模と効率性が向上しているため、エンドユーザーを騙して悪意のあるコードを実行させることは依然として可能です。

ウイルス対策ソフトウェアやスパイウェア対策ソフトウェアは役立ちますが、少なくとも数日ごとに新しいパターンファイルをインストールして最新の状態に保つ必要があります。ファイアウォールの使用も推奨されます。

ユーザーは、コンピュータのオペレーティングシステムやその他のソフトウェアを最新の状態に保ち、認識されていない電子メールや予期しない電子メールを開かないようにし、ファイアウォールやウイルス対策ソフトウェアを実行することで、ワームの脅威を最小限に抑えることができます。[ 30 ]

緩和技術には次のようなものがあります:

感染は、その動作によって検出されることもあります。典型的には、インターネットをランダムにスキャンして、感染する脆弱なホストを探します。[ 31 ] [ 32 ]さらに、機械学習技術を使用して、疑わしいコンピュータの動作を分析することで、新しいワームを検出することもできます。[ 33 ]

役に立つワーム

役に立つワームまたはワーム対策ワームとは、作成者が役に立つと感じる動作を行うように設計されたワームですが、必ずしも実行するコンピュータの所有者の許可を得る必要はありません。ゼロックスPARCでの最初のワーム研究に始まり、役に立つワームを作成する試みがなされてきました。それらのワームにより、ジョン・ショクとジョン・ハップはゼロックスAltoコンピュータのネットワーク上でイーサネットの原理をテストすることができました。[ 34 ]同様に、Nachiファミリーのワームは、同じ脆弱性を悪用して、MicrosoftのWebサイトからパッチをダウンロードしてインストールし、ホストシステムの脆弱性を修正しようとしました。[ 35 ]実際には、これによりこれらのシステムはより安全になったかもしれませんが、かなりのネットワークトラフィックが発生し、パッチ適用の過程でマシンが再起動され、コンピュータの所有者またはユーザの同意なしに動作しました。このアプローチの別の例としては、Roku OSがスクリーンセーバーチャンネルのアップデートを介してルート化を可能にするバグを修正したことが挙げられます。スクリーンセーバーはtelnetに接続してデバイスにパッチを適用しようとします。[ 36 ]ペイロードや作成者の意図に関係なく、セキュリティ専門家はすべてのワームをマルウェアと見なします。

ある研究では、 OSIモデルの第2層(データリンク層)で動作する最初のコンピュータワームが提案され、スイッチに保存されているコンテンツアドレスメモリ(CAM)テーブルやスパニングツリー情報などのトポロジ情報を利用して、企業ネットワークがカバーされるまで脆弱なノードを伝播および調査します。[ 37 ]

ワーム対策ソフトは、Code Red[ 38 ] 、 BlasterSantyワームの影響に対抗するために使用されてきた。Welchia有用なワームの一例である。[ 39 ] WelchiaはBlasterワームが悪用したのと同じ欠陥を利用して、コンピュータに感染し、ユーザーの同意なしにMicrosoftのWindowsセキュリティアップデートを自動的にダウンロードし始めた。Welchiaはアップデートをインストールした後、感染したコンピュータを自動的に再起動する。これらのアップデートの1つが、脆弱性を修正するパッチだった。[ 39 ]

他にも役に立つワームとしては「Den_Zuko」、「Cheeze」、「CodeGreen」、「Millenium」などが挙げられます。[ 39 ]

アートワームは、アーティストによる大規模なエフェメラルアート作品の制作を支援します。感染したコンピュータを、作品制作に貢献するノードへと変化させます。[ 40 ]

参照

参考文献

  1. ^バーワイズ、マイク. 「インターネットワームとは何か?」 . BBC. 2015年3月24日時点のオリジナルよりアーカイブ。 2010年9月9日閲覧
  2. ^ Zhang, Changwang; Zhou, Shi; Chain, Benjamin M. (2015-05-15). 「ハイブリッド疫病 ― コンピュータワーム Conficker の事例研究」 . PLOS ONE . 10 (5) e0127478. arXiv : 1406.6046 . Bibcode : 2015PLoSO..1027478Z . doi : 10.1371/journal.pone.0127478 . ISSN 1932-6203 . PMC 4433115. PMID 25978309 .   
  3. ^マリオン、ジャン=イヴ (2012年7月28日). 「チューリングマシンからコンピュータウイルスへ」 .王立協会哲学論文集 A: 数学・物理・工学. 370 (1971): 3319– 3339. Bibcode : 2012RSPTA.370.3319M . doi : 10.1098/rsta.2011.0332 . ISSN 1364-503X . PMID 22711861 .  
  4. ^ IEEE Annals of the History of Computing . Vol.  27– 28. IEEE Computer Society. 2005. p. 74. [...]あるマシンから別のマシンへと感染するコンピュータウイルスの出現は、世界初のコンピュータウイルスとなったCreeperプログラムの実験へと繋がりました。Creeperは、ネットワークを利用して別のノード上で自己複製し、ノードからノードへと拡散するコンピュータウイルスです。Creeperのソースコードは未だに不明です。
  5. ^最初のメールから最初のYouTube動画まで:決定版インターネット史 トム・メルツァー、サラ・フィリップス著。ガーディアン紙2009年10月23日
  6. ^ a bブルンナー、ジョン (1975). 『ショックウェーブ・ライダー』 ニューヨーク: バランタイン・ブックス. ISBN 978-0-06-010559-4
  7. ^ J. Postel (1979年5月17日).インターネット会議記録 1979年5月8日、9日、10日、11日. p. 5. doi : 10.17487/RFC2555 . RFC 2555 .
  8. ^潜水艦」www.paulgraham.com
  9. ^ 「インターネットのセキュリティ」 CERT /CC 。 1998年4月15日時点のオリジナルよりアーカイブ2010年6月8日閲覧。
  10. ^ 「Phageメーリングリスト」 securitydigest.org. 2011年7月26日時点のオリジナルよりアーカイブ2014年9月17日閲覧。
  11. ^ドレスラー, J. (2007). 「合衆国対モリス事件」.刑事法に関する判例集. セントポール, ミネソタ州: トムソン/ウェスト. ISBN 978-0-314-17719-3
  12. ^ Zhang, Changwang; Zhou, Shi; Chain, Benjamin M. (2015-05-15). 「ハイブリッド疫病 ― コンピュータワーム Conficker の事例研究」 . PLOS ONE . 10 (5) e0127478. arXiv : 1406.6046 . Bibcode : 2015PLoSO..1027478Z . doi : 10.1371/journal.pone.0127478 . ISSN 1932-6203 . PMC 4433115. PMID 25978309 .   
  13. ^ Zhang, Changwang; Zhou, Shi; Chain, Benjamin M. (2015-05-15). Sun, Gui-Quan (ed.). 「ハイブリッド疫病 ― コンピュータワーム Conficker の事例研究」 . PLOS ONE . 10 (5) e0127478. arXiv : 1406.6046 . Bibcode : 2015PLoSO..1027478Z . doi : 10.1371 / journal.pone.0127478 . ISSN 1932-6203 . PMC 4433115. PMID 25978309 .   
  14. ^ 「ワームとウイルス:違いは何ですか?それは重要ですか?」ワームとウイルス:違いは何ですか?それは重要ですか?2021年10月8日閲覧
  15. ^ヨ・サンス。 (2012年)。コンピュータ サイエンスとその応用: CSA 2012、済州島、韓国、2012 年 11 月 22 ~ 25 日。スプリンガー。 p. 515.ISBN 978-94-007-5699-1. OCLC  897634290 .
  16. ^ Yu, Wei; Zhang, Nan; Fu, Xinwen; Zhao, Wei (2010年10月). 「自己規律的ワームとその対策:モデリングと分析」. IEEE Transactions on Parallel and Distributed Systems . 21 (10): 1501– 1514. Bibcode : 2010ITPDS..21.1501Y . doi : 10.1109/tpds.2009.161 . ISSN 1045-9219 . S2CID 2242419 .  
  17. ^ Brooks, David R. (2017)、「HTMLの紹介」、HTMLとPHPでのプログラミング、コンピュータサイエンスの学部生向けトピック、Springer International Publishing、pp.  1– 10、doi : 10.1007/978-3-319-56973-4_1ISBN 978-3-319-56972-7
  18. ^ Deng, Yue; Pei, Yongzhen; Li, Changguo (2021-11-09). 「感受性-感染-回復-死亡のコンピュータワームモデルのパラメータ推定」 .シミュレーション. 98 (3): 209– 220. doi : 10.1177/00375497211009576 . ISSN 0037-5497 . S2CID 243976629 .  
  19. ^ロートン、ジョージ(2009年6月)「コンフィッカーワームの足跡を辿る」Computer誌42 (6): 19–22 . Bibcode : 2009Compr..42f..19L . doi : 10.1109/mc.2009.198 . ISSN 0018-9162 . S2CID 15572850 .  
  20. ^ 「悪意のあるペイロードとは?」www.cloudflare.com . 2025年1月2日閲覧
  21. ^ Ray, Tiernan (2004年2月18日). 「ビジネスとテクノロジー:スパムメール急増で電子メールウイルスが原因」シアトル・タイムズ. 2012年8月26日時点のオリジナルよりアーカイブ。 2007年5月18日閲覧
  22. ^ブライアン・マクウィリアムズ(2003年10月9日)「スパマー向けのクローキングデバイス」 Wired
  23. ^ 「ブックメーカーへのハッカーの脅迫を調査」 BBCニュース、2004年2月23日。
  24. ^ブロンク、クリストファー、ティック・リンガス、エネケン(2013年5月)「サウジアラムコへのサイバー攻撃」『サバイバル55 (2): 81–96 . doi : 10.1080/00396338.2013.784468 . ISSN 0039-6338 . S2CID 154754335 .  
  25. ^リンゼイ、ジョン・R.(2013年7月)「スタックスネットとサイバー戦争の限界」『セキュリティ研究22 (3): 365–404 . doi : 10.1080/09636412.2013.816122 . ISSN 0963-6412 . S2CID 154019562 .  
  26. ^王光偉、潘洪、范明宇 (2014). 「Stuxnetの疑いのある悪意あるコードの動的解析」.第3回国際コンピュータサイエンスおよびサービスシステム会議議事録. 第109巻. パリ、フランス: アトランティス・プレス. doi : 10.2991/csss-14.2014.86 . ISBN 978-94-6252-012-7
  27. ^ 「USNリスト」 . Ubuntu . 2012年6月10日閲覧
  28. ^ 「脅威の説明:電子メールワーム」 。 2018年1月16日時点のオリジナルよりアーカイブ2018年12月25日閲覧。
  29. ^ 「Email-Worm:VBS/LoveLetter の説明 | F-Secure Labswww.f-secure.com
  30. ^ 「コンピュータワームの情報と駆除手順」 Veracode. 2014年2月2日. 2015年4月4日閲覧
  31. ^ Sellke, SH; Shroff, NB; Bagchi, S. (2008). 「ワームのモデリングと自動封じ込め」. IEEE Transactions on Dependable and Secure Computing . 5 (2): 71– 86. Bibcode : 2008ITDSC...5...71S . doi : 10.1109/tdsc.2007.70230 .
  32. ^ 「インターネットワームからコンピュータネットワークを保護する新しい方法」Newswise . 2011年7月5日閲覧
  33. ^ Moskovitch, Robert; Elovici, Yuval; Rokach, Lior (2008). 「ホストの行動分類に基づく未知のコンピュータワームの検出」.計算統計とデータ分析. 52 (9): 4544– 4566. doi : 10.1016/j.csda.2008.01.028 . S2CID 1097834 . 
  34. ^ Shoch, John; Hupp, Jon (1982年3月). 「ワームプログラム - 分散コンピューティングの初期経験」 Communications of the ACM . 25 (3): 172– 180. doi : 10.1145/358453.358455 . S2CID 1639205 . 
  35. ^ 「Nachiワームに関するウイルス警告」。Microsoft。
  36. ^ 「Roku をルート化する。GitHub
  37. ^ Al-Salloum, ZS; Wolthusen, SD (2010). 「リンク層ベースの自己複製型脆弱性検出エージェント」. IEEE コンピュータと通信シンポジウム. p. 704. doi : 10.1109/ISCC.2010.5546723 . ISBN 978-1-4244-7754-8. S2CID  3260588 .
  38. ^ 「vnunet.com 'Anti-worms' fight off Code Red threat」 2001年9月14日。2001年9月14日時点のオリジナルよりアーカイブ
  39. ^ a b c The Welchia Worm . 2003年12月18日. p. 1 . 2014年6月9日閲覧
  40. ^ Aycock, John (2022-09-15). 「インターネットを描く」レオナルド42 ( 2 ): 112– 113 – MUSE経由.
「 https://en.wikipedia.org/w/index.php?title=Computer_worm&oldid=1321438953#Helpful_worms」より取得