概要
ワームと呼ばれる不正プログラムは、自己増殖するために感染活動を自ら行うものです。
コンピュータウィルスのように他のプログラムを必要とせずに単独で活動すること、多くはネットワーク経由で自ら感染活動を行うことの2点がコンピュータウイルスと大きく異なる点として挙げられます。
ユーザーの操作に頼ることなく、自ら感染した被害者PCとネットワーク接続されたPCに対しアクセスして、浸食していくことができるのです。
データの改ざんや削除など、悪質な操作をするものが多いことも特徴のひとつと言えるでしょう。
2001年に登場したCode Redの影響によってワームという言葉が一般に普及したと言えるでしょう。
背景と事例
ワームを説明するうえで、CodeRedワームの存在は重要です。
このワームは、当時のMicrosoft IIS(Internet Information Services)のバッファオーバーフローの脆弱性を悪用することで、ウェブサーバのコンテンッの改ざんを行いました。
バッファオーバーフローとは、メモリ上に確保されたバッファが溢れることで意図しない動作が引き起こされる事象のことです。
バッファとはメモリ上にデータを確保するための領域のことで、ユーザー権限から管理者権限へ昇格させるなどといった不正操作ができる。
ウェブサーバのコンテンッの改ざんによる影響範囲はCAIDA(Centerfor Applied Intemet Data Analysis)の分析結果が参考になります。
その他に、過去にインパクトの大きかったワームとして、NimdaやBlasterなどが挙げられます。
いずれもWindowsの脆弱性を悪用することによって、攻撃が行われています。
これらのワームの特徴として、周囲の端末への感染速度が非常に速いことが挙げられます。
ワームの感染手口
- 主にネットワークを通じて、最初の被害者PCがワームに感染する。
- 最初の感染PCにネットワークで接続されたPCやサーバーに向けて、自発的に感染行動を行い、二次感染させていく。
- 二次感染したデバイスから、さらに次のデバイスへと被害が広がっていく。