連載「コンピュータウイルス事件簿・事件で追うウイルス史」

2012/10/29

File:6「2001年:Code Red~新時代の申し子 DDoS攻撃とゼロデイ攻撃」

コンピュータ上のウイルスは、電子計算機の発祥とともに存在し、その数を増やしてきた。ジョーク・広告程度のプログラムから始まったものが、いまや国家安全を脅かす可能性のある悪質なものまで出てきている。驚異的に数を増やし、いまや数億種も存在するウイルス。しかし、その歴史を紐解いていくと、様々なウイルスが過去に生まれた技術の延長線上に存在することもわかる。

 File:6では、大量のボットPCを生み出しホワイトハウスへ攻撃を仕掛けようとした「Code Red」について解説する。

Code Red

TYPE
:(ゼロデイ)ワーム
BIRTH
:2001年
ROUTE
:インターネット
GOAL
:WEB改ざん、システム過負荷、米国ホワイトハウスHPへのDDoS攻撃

DoS攻撃とは?


 「DoS攻撃」。DoSとは「Denial of Service」の略。サービス停止攻撃などと呼ばれる。特定のサイトに大量のデータを送りつけることで、サーバを過負荷状態にしてサービス停止へ追い込むという、極めて単純な攻撃ではある。やりかた次第では、特定のサイトでページ更新のショートカットボタンであるファンクションキーの5(F5)を大人数で連打すること(通称:F5アタック)でも成立してしまう。


 DoS攻撃の歴史はかなり古く、そして現代でも頻繁にしかけられるメジャーな「サイバー攻撃」である。古くはFile:2で紹介したクリスマスワーム、最近ではハッカー集団・アノニマスによるダウンロード違法化への抗議で使用されたことが記憶に新しい。


 さらにこれを複数のPCから協調・同時に行う攻撃を、分散されつつも全体では1つの塊となっていることを意味する「Distributed」の頭文字“D”を加えて「DDoS攻撃」と呼ぶ。DDoS攻撃の可能性は1990年代後半から指摘されていたが、2000年に入り「Yahoo!」などの大手サイトに向けて行われ、数時間サービス停止状態に追い込まれている。


 DDoS攻撃を行うコンピュータは、タイミングを合わせて攻撃するための指令を出すコンピュータと、実際に攻撃を行うコンピュータに分かれている。攻撃を行うコンピュータは、事前にウイルスを送りこまれて感染しており、所有者の意思とは無関係に、指令を出すコンピュータから出された「攻撃指令」に従い、各コンピュータが協調して、標的に向けたDoS攻撃を行う。特定のコンピュータからの攻撃ならば、そのコンピュータからのアクセスを遮断すれば問題ないが、不特定多数からのアクセスとなると遮断も難しい。


 2001年7月初旬に発生したと言われる「Code Red」ワームは、そんな典型的なDDoS攻撃を効率的に行うために作られたウイルスだった。

日本で被害があったDDoS攻撃の一例
なんらかの意図を表明するために行われることも多い

挙動

 Code Redはマイクロソフト社が提供しているインターネットサーバ「Internet Information Server」(IIS)の脆弱性をついて攻撃をしかけている。以前より、IISについては各所から脆弱性に関する指摘がされていたが、Code Redがついた脆弱性について2001年6月18日に対策パッチを配布はしていた。しかし、ほんの1カ月で配布された修正パッチが世界的に普及するわけもなく、修正パッチを適用していていないサーバのあいだで次々と感染が広がっていった。


 感染台数は当時世界でIISを使っていた400万台のうちの7%に相当する28万台にもなると言われている。


 Code Redは7月1日~19日の間はひたすら感染・自己増殖し、サーバ内WEBページの改ざん(ページに“Hacked By Chinese!”と表示されるようになる)、システム負荷の増大といった被害を出す一方で、次の感染先を探すように設定されている。


 感染したコンピュータはいわゆる「ボット」となり、やはり設定された日付(7月20日~27日)になると「特定のアドレスに大量のデータを送り続ける」という動作を、管理者の意思とは無関係にさせられてしまう。


 最初に出回った“初代”Code RedはホワイトハウスHP(198.137.240.91)へのDDoS攻撃を設定していた。しかし攻撃目標に設定されていたホワイトハウス側が、事前にIPアドレスを198.137.240.92へ変更したことにより、攻撃は実行されなかった。


特徴とその後への影響

 こうして「Code RedによるDDoS攻撃」は結局失敗に終わった。しかしCode Redはその後に行われるだろう新しい攻撃の可能性を示してしまった。


 ひとつは「ゼロデイ(0day)攻撃」の可能性だ。Code Redが広まった要因の1つに脆弱性が発表されてからわずか1カ月足らずで攻撃をしかけている点がある。対処が広がりきる前に、ウイルスを完成させて攻撃をしかける「ゼロデイ攻撃」は今日でも存在するが、Code Redはその先駆けとなったと言えるだろう。


 もうひとつは、DDoS攻撃の自動化だ。これ以前にDDoS攻撃をしかけるためには非常に多くの手間がかかるとされていた。つまり、実際に攻撃をしかける感染先の選定やら攻撃指令など、その都度に手間をかけ多くの下準備が必要だったようだ。しかし、Code Redはそれらを全てワームが勝手に行い、コンピュータへの感染から大規模な実際の攻撃指令までDDoS攻撃をほとんど自動でこなした。こうして、ウイルスひとつで手軽にできてしまう可能性を示してしまったのだ。


 2001年8月頃には、すでにCode Redの亜種が日本国内でも発見されており、本家と異なり実被害も出している。Code Redやその亜種といったウイルス自体はIISの修正パッチを適用することで抑えられるが、DDoS攻撃というサイバー攻撃自体がなくなってしまったわけではない。パッチを当てるというだけのウイルス対策とは根本的に異なる、別個の対策が必要となってくるだろう。

(井上宇紀)

>>File:7「2001年:Nimda」


【関連カテゴリ】

情報セキュリティ