Code Red(コードレッド)は、2001年7月13日インターネットで発見されたワームである。マイクロソフトIIS Webサーバが動作するコンピュータを攻撃した。このワームについて最も深く調査したのは、eEye Digital Security のプログラマ達であった。彼らはワームの名称も決めたが、その由来はソフトドリンク「マウンテンデュー」のチェリー味の商品名(CODE RED)と、このワームに攻撃されたWebサイトで見られた "Hacked By Chinese!" という文字列からの連想である(赤狩り参照)。このワームが出現したのは7月13日だが、被害が拡大したのは2001年7月19日のことだった。この日感染したホスト数は359,000に達した[1]。当日は、世界中のネットワークのトラフィックの急増により、どのサイトへもつながりにくい状態が発生し、唯一インターネットが麻痺した日とされる。

概説

編集

利用された脆弱性

編集

このワームは IIS に付属して配布されたインデックスサーバの脆弱性を利用した。この脆弱性については MS01-033 で説明されている。それによると、ワーム出現の約1ヵ月前にパッチが公開されている。

このワームは自身の拡散のために、いわゆるバッファオーバーランと呼ばれる脆弱性を利用した。'N' を繰り返した長い文字列でバッファをオーバーフローさせ、任意のコードを実行してマシンに感染する。

ワームのペイロード

編集

このワームのペイロードには、以下が含まれる。

  • 感染したWebサイトは次のように表示させられる(最後の部分はネット上での敗北を表す決まり文句となった。外部リンク参照)

HELLO! Welcome to http://www.worm.com! Hacked By Chinese!

  • インターネット上のIISサーバを探し、さらに感染させようとする。
  • 感染後20日から27日待って、いくつかの固定のIPアドレスDoS攻撃を仕掛けるようになっていた。攻撃目標にはホワイトハウスのWebサーバも含まれていた[1]

感染可能なマシンを探す際に、このワームは IIS の脆弱性のあるバージョンが動作しているかをチェックしていない。さらに言えば、IIS が動作しているかどうかすらチェックしていなかった。そのため、当時の Apache のアクセスログを調べると、以下のようなエントリが頻繁に見つかる[注釈 1]

GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNN
%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801
%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3
%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0

類似のワーム

編集

2001年8月4日、Code Red II が出現した。Code Red II は、Code Red ワームから派生したものではない。感染方法が同じであるものの、ペイロードは全く異なる。感染したマシンと同じサブネットかまたは異なるサブネットのターゲットを、ある固定の確率分布に従った擬似乱数的な手法で選択する。通常、同じサブネット内のターゲットを選ぶことが多い。さらに、Code Red で 'N' を繰り返していた部分(バッファオーバーランを発生させる文字列)が 'X' の繰り返しになっている。

eEye はワームの発信地がフィリピンマカティであると考えている(VBS/Loveletter ワームと同じ発信地である)。

脚注

編集

注釈

編集
  1. ^ このワームのペイロードは 'N' の羅列の後の文字列である。脆弱なホストはこの文字列を命令列として実行してしまう。

出典

編集
  1. ^ a b Moore, David; Colleen Shannon (2001年?). “The Spread of the Code-Red Worm (CRv2)”. CAIDA Analysis. 2006年10月3日閲覧。

外部リンク

編集