Create  Edit  Diff  FrontPage  Index  Search  Changes  Login

ワーム

要旨

なんでもかんでもウイルスって呼んではいけない。

なぜなら、ホットフィクスも当てずに、マカーフィやノートンのパターン更新してりゃそれでOKって考える連中の妙な盲信が、被害を拡大するからだ。

風媒して巣穴を掘る虫は、ちゃんとワームと呼べ。


追記

とまあ、最初は対処法が異なるんだから、区別しといたほうが便利じゃないかなってことで、そう書いてたわけだ。

でも、ウィルスは脆弱性と無関係だけど、ワームは動作原理から脆弱性を突くプログラムなわけで、確かに、一言、「欠陥があるから更新しな」のほうが、より明解ですね。

FAQ

そうは言ってもMSBlast.exeをアンティウイルスソフトは検出しますが何か?

バーロー岬。その前にRPCサーバがワームに掘られて火を吹いて、マシンが倒れたじゃないか。それは構わないんですか? それに治療より予防ってのが医学界のトレンドですが何か。これは嘘だけど。

大体、ハイブリッド型(ウイルス界では別の意味だろうが、ここでは――というのは必要だからいちいちオレ様と言われるのは確かにうるさいかも――ワームとウイルスそれぞれの特徴を持つって意味)なのが主流だってこた、わかってる。ようするに、ファイルとブート時のメモリ検索だけの対策じゃだめで、ちゃんとパッチ当てろ、というのが重要。

パッチ当てたら、マシンが再起動しなくなったら怖いんですが、何か?

バーロー岬。じゃあ、パターンの更新やウイルス検出エンジンの更新もしないんですか? パターンこの「更新」、ウイルス検出エンジンの「更新」も、パッチも、PCにソフトウェアをインストールするということでは同じです(ということにしておこう)。

MSを信用してないだけですが、何か?

バーロー岬。青画面、因果を探せばウイルスソフトですが何か? っていうか、信用していないんなら、使うのやめろ。使うんなら、信用しろ、と言ってるだけですが何か?

MSはそんな情報をくれませんが、何か?

おまいは、ちゃんとWindowsにお金を払って、ユーザー登録してますか?

わたしはカタカナ言葉はわかりませんが、何か?

バーロー岬。ウイルスは単なる地雷だから踏まなきゃいいんだよ。だけどワームは毒ガスだから壁の隙間を見つけたらすぐに補強しなきゃ勝手に入ってくるんだよ。これなら、わかるか?

実行しなければ、感染するはずありませんが、何か?

バーロー岬。シロートなら黙ってプロの言うこと聞いてりゃいいんだよ。どーせわからないんだから。クロートならコンピュータはなぜ動くか考えてみろ。GSオプションについて書いたやつでも参照しろ。

ナローバンドですが、何か?

バーロー岬。そんなチンケな環境でWindowsを使って文句垂れるんじゃねーよ。とは言えませんなぁ。言えないけど、これを機会にオルターネイティブ人生を歩んではどうでしょうか?

でも、インターネットにはつないでんだよな、ぶつぶつ。

まともな資料を見たいんですが、何か? じゃなくて、何かありませんか?

これを探せ。現在でも通用する内容だ。

Jon A. Rochlis and Mark W. Eichin: "With Microscope and Tweezers: The Worm from MIT's Perspective", Communications of the ACM, Vol.32, No.6 (June 1989), pp.689-698

日本語訳

共立出版 bit 1989/12 P.17-31「顕微鏡とピンセットを用いて:MITから見たワーム


追記

オリジナルがセキュリティホールmemoで紹介されてたんで、これを読むほうが早いね。


この文書の1番の意義は、最後の節(将来のための一般的な問題点)だ。ワームそれ自体ではなく、どうやってネットワークとコンピュータの健全性を保つかについての考察。1部を引用すると

最小の特権

ソースコードのような情報を制限したところで、このような事件が起きうる事を防ぐのに役に立たなかったであろう

多様性はいいことである。

(だから、MS以外の選択肢が重要)

自分たちの仕事ができればよいとしか考えていないようなエンドユーザには、セキュリティフィクスを組み込むことの重要性を教育すべきである。

ワームとは何?

重要なのは、被害をもたらす過程がウイルスと異なるということの周知だ。したがって、感染方法の違いを明らかにすれば良い。

ウィルス
感染したプログラムを実行することによって、コンピュータに侵入しファイルに感染する。出所不明なプログラムの実行、FD/CDからのブート、マクロメディア、マイクロソフト、アドベなどの有名な会社以外のActiveXコントロールの実行、に気をつければ感染しない。また、ウイルス検出ソフトによる起動時スキャンを有効にしていれば(パターン更新を継続していれば)防御できる。
ワーム
脆弱性を持った実行中のプログラム/サービスにネットワーク経由で侵入する。ネットワークに接続していなければ防御できる。起動したプログラム/サービスは脆弱性を持つだけで、正当なプログラムのためウイルス検出ソフトでは検出できない。

普段何をすべきか

ウイルス
ウイルス検出ソフトを実行しておき、きちんとパターンファイルの更新を行う。インストール時のアプリケーションのみを実行するのであれば、このような考慮は不要(基本的には)。
ワーム
脆弱性に対するホットフィクスが発表されたら当てる。それだけ。(ただし、人柱マシンで適用後、3日程度様子を見るといった配慮はすべき)

影響について

ウイルス
感染したプログラムを配布すると、配布先で実行すると配布先PCでも感染する。実行したPCの挙動を異常にする。
ワーム
ネットワーク経由で他の複数のサイトに侵入を試みる。そのため、短期間に増殖し、ネットワーク帯域を著しく消費する。

感染したら?

1番、簡単な対応方法

ウイルス
フォーマット、再インストール
ワーム
再起動。ただし、最近のワームは攻撃プログラムをインストールすることが多いので必ずしも、この限りではない。また、感染方法の原理から、1度感染した=ネットワーク内に既に巣食っていることから、再起動後、再感染する可能性が高い。

まともな対応方法

ウイルス
フォーマット、再インストール
ワーム
ネットワークから切断。再起動。パッチ当て。再起動。ネットワークへ接続。

留意点

最近のワームは、巣食った後に卵を植え付けていくことが多いため、ウイルスと同様に考えるほうが良い。

ここでの要旨

ワームの予防は簡単で、ホットフィクスを当てるのは安上がりだ、という心象を形成させることが重要。

Last modified:2003/09/21 02:27:30
Keyword(s):
References: