Computer Viruses including malware and adware

1. Computer Virusesincluding malware and adware Kensuke Naoe Takefuji Lab. INAS Security team Last updated on April 2003

2. 不正アクセスなの？ • セキュリティの脅威 • 不正アクセス • 攻撃手法の多様化、ツールの機能が向上したことにより、高度な技術や知識がなくても不正アクセスが可能になった • 同じような不正アクセス攻撃が増える • 不正プログラム • 攻撃方法がコード化されている＝攻撃方法が常に同じ • ＊（コードが実行されるたびにコードの記述方法が変わるウイルスもあり）

3. 2003年現在では不正アクセスという言葉が頻繁に出てくるが、歴史的には不正プログラムのほうが古くから存在し、今でもセキュリティ上の脅威である2003年現在では不正アクセスという言葉が頻繁に出てくるが、歴史的には不正プログラムのほうが古くから存在し、今でもセキュリティ上の脅威である • しかしながら近年のウイルスには不正アクセス行為をするものもあり不正アクセス型マルウェアとも呼ばれるウイルスの分類もある。

4. ウイルスの発展とインターネット相関 • 1997年～1999年　CERT/CCによる脆弱性報告から半年～約三ヶ月遅れで該当する脆弱性への不正アクセスが活発化 • 2000年以降　脆弱性が報告されてからすぐに不正アクセス活動が活発化 • ユーザ側の正しい認識と常に日ごろから対策を持つことが重要 • 狙われるのは、ありふれたセキュリティ上の弱点 • 手口が知れると模倣版が出る • セキュリティホールはなくならない

5. 歴史 • Virus History • http://www.cknow.com/vtutor/vthistory.htm • ホッブズのインターネット年表 • http://www.dendrocacalia.org/~common/rfc/rfc2235-jp.txt

6. 1990年以前 • 1970年　Bob ThomasによるARPAネットでのワーム「Creeper」 • 1970年末　ゼロックスパルアルト研究所での実験ワーム「Creeper,Vampire等」 • 1981年　最初のコンピュータウイルス「Elk Cloner」 • MacIIのフロッピーディスクで感染し、広まっていった • http://www.skrenta.com/cloner/ • 1983年11月3日　Fred CohenがVirusを作成し実験が行なわれた、 • （Cohenがコンピュータウイルスの定義提唱。Len AdlemanがVirusと命名） • http://zdnet.com.com/2100-1105_2-5106221.html • 1984年　このことが始めて文書化された。 • ウイルスに関する最初の文書

7. 1986年　最初のトロイの木馬「PC-Write」 • 1986年　パキスタンの兄弟によるBrainウイルス • 始めてのブートセクタ感染型 • 1986年　Virdem　最初のファイル感染型のウイルスと言われているが、、、 • 1987年　Lehigh　ファイル感染型ウイルスが流行る • 主に.comファイルに感染（command.com） • 1987年　Jerusalemウイルス • 最初のexe感染ウイルス • 1987年　IBM Christmas Worm • 高速に感染するウイルス（一時間に500,000件）

8. 1988年　国内最初のコンピュータウイルス • NECが主催するパソコン通信のネットワークであるPC-VANにおいて、IDとパスワードを盗みそのデータを送るウィルスが電子メールを介して広がったというものです。 • 1988年12月　Internet Worm事件 • バッファオーバーフロー攻撃などサーバの脆弱性を利用 • Robert Morrisによるワーム • インターネット経由のはじめての大きな脅威。 • 沢山のコンピュータをシャットダウンした • CERTが結成されるきっかけとなった。 • 1989年　AIDS　ファイル監禁・人質型 • ハードディスクを暗号化し、復号鍵がほしければ金を払うよう要求

9. 1990年代前半 • 1990年　VX（Virus Exchange）BBSがブルガリアでオンラインに登場 • ウイルスの作者がコードやアイデアを交換した • 1990年1月15日　Berferd事件（AT&T研究所） • AT&Tの長距離交換機がダウンし、6万人もの人々が電話を使えなかった • 交換機のプログラムミスに合ったことが判明するが、電話システムに侵入したハッカーの仕業と疑われた • 1990年　Mark LudwigがThe Little Black Book of Computer Virusesを出版 • Berferd事件について扱った

10. 1991年　Tequila　初めてのポリモーフィックウイルス1991年　Tequila　初めてのポリモーフィックウイルス • 1992年　Michaelangeloウイルス • 始めて世界規模に感染すると予想された（実際の感染数は少なかったららしい） • 1992年　DAME(Dark Avenger Mutation Engine)というツールキットによりポリモーフィックウイルスが作成容易に • http://www.cknow.com/vtutor/vtpolymorphic.htm • 1992年　VCL（Virus Creation Laboratory）　実際にウイルス生成できるキット • プルダウンメニューやペイロードが選択可能 • 1994年2月　パスワード大量盗難 • パケットモニタリングによる認証情報の盗聴　

11. 1994年11月～12月　最初のHOAXウイルス「Goodtimes」1994年11月～12月　最初のHOAXウイルス「Goodtimes」 • HOAXとはかつぐとか騙すということ。デマウイルスのこと • 1995年1月　ケビン・ミトニック事件 • IPアドレスの偽造によるコネクションハイジャック • 1995年　最初のマクロウイルス「Concept」 • Wordを攻撃

12. 1996年8月　米国司法省Webページが改ざんされる1996年8月　米国司法省Webページが改ざんされる • 1991年にWWWがリリースされてから、92年にはノード数が百万を越えた。93年では日本でもインターネットの商用利用が郵政省より許可される。95年JAVA登場。 • ブッシュよりもクリントン政権はInformation Technologyを早くから訴えてきた。（当選したのもそれが理由とも言われている） • 95年　Microsoft Windows95 TCP/IPやInternet Explorerを標準装備 • 96年　アナログ56kbps通信が発表される

13. 1996年　Boza　Windows95ファイルに特化したはじめてのウイルス1996年　Boza　Windows95ファイルに特化したはじめてのウイルス • 1996年　Laroux　最初のExcelマクロウイルス • 1996年　Staog　最初のLinuxウイルス（Bozaを書いたグループによるもの） • 1996年9月　PANIXへのDoS攻撃 • Public Access Networks Corp(PANIX)がハッカー雑誌に掲載された方法の概要を用いた、クラッカーによる繰り返しのSYN攻撃を受けて閉鎖 • パケットレベルでのDoS攻撃の出現（IPアドレスの偽造の活用） • 1997年5月　朝日放送のホームページの書き換え • 1997年7月　ニュースサーバへの攻撃

14. 1997年8月　cgi-binプログラムへの攻撃 • 脆弱性探査ツールの高度化 • 1998年　最初のJAVAウイルス「StrangeBrew」 • 1998年　BackOrifice • リモート管理ツール • インターネットを利用することでリモートからコンピュータを乗っ取ることが簡単に出来るようになった • 1998年　Accessマクロウイルスが出現し始める • 1999年3月　Melissaワーム • WordマクロウイルスとOutlook、Outlook Expressのアドレスブックを用いて電子メールで感染するワームの機能が合体

15. 1999年　Tristate • 最初のマルチプログラム対応のマクロウイルス • Word,Excel,Powerpointのファイルに感染 • 1999年　Bubbleboy • 始めてメールを開くと実行する型のワーム • Outlookのメールを開けるもしくはOutlook Expressでメールをプレビューすると自動的に実行 • Proof of Concept(Kakがこの手法を用いている) • 1999年5月　米政府関連Webサイトの書き換え

16. 2000年1月　官公庁関連Webサイトの書き換え • 2000年2月　米国有名サイトへのDDoS攻撃 • DDoS攻撃の出現 • 2000年5月　LoveLetterウイルス • 2001年2月　国内複数Webサイトの書き換え • 2001年5月　sadmind/IISワーム • サーバの脆弱性を攻撃する不正アクセス型ウイルス • 2001年7月　Sircumウイルス • 2001年9月　Nimdaワーム • サーバ/クライアントの脆弱性を攻撃する不正アクセス型ウイルス • マルウェア（不正アクセス型ウイルス）の時代へ

17. 不正プログラムの種類

18. ウイルスの定義 • 生物ウイルスのように有機的なものではないが、その不正プログラムの動作が生物ウイルスに似ているため、コンピュータウイルスと呼ばれるようになった。 • 広義 • 不正なプログラム全般 • 狭義 • 以下の特徴のうちいずれかを有する不正プログラムのこと • 感染：他のファイルにウイルス自身を付着させる • 潜伏：一定の条件が揃うのを待って悪質な行動をする • 発病：データの破壊、動作の不安定などユーザの意図しない行動をする

19. ここ10年間の届出件数の推移

20. 1998年～2000年の届出（IPA発表）

21. 2001年～2003年の届出（IPA発表）

22. 過去の例：主にメールを中心に感染 2000年の主要ウイルス • Ｗ３２／ＭＴＸウイルス • （ファイル感染型 メール機能悪用） • 11月に「W32/Navidad」 • （トロイの木馬 メール機能悪用） • 12月には「W32/Ｈｙｂｒｉｓ」 • （トロイの木馬 メール機能悪用） • ウイルス対策7か条http://www.ipa.go.jp/security/antivirus/7kajo.html

23. １９９９年９月７日　　　　　　　　　　　ウイルス対策7か条１９９９年９月７日　　　　　　　　　　　ウイルス対策7か条 • 最新のワクチンソフトを活用すること • 万一のウイルス被害に備えるためデータのバックアップを行なうこと • ウイルスの兆候を見逃さず、ウイルス感染の可能性が考えられる場合ういする検査を行なうこと • メールの添付ファイルはウイルス検査後開くこと • ウイルス感染の可能性のあるファイルを扱う時は、マクロ機能の自動実行は行なわないこと • 外部から持ち込まれたFD及びダウンロードしたファイルはウイルス検査ご使用すること • コンピュータの共同利用時の管理を徹底すること • これって古い考えだよね？今当たり前にされていることだし、、、　　さすが1999年だ。

24. ワームとウイルス • 2001年はネットワーク経由ウイルス元年といわれている • NIMDA、BADTRANS、ALIZ • 2002年 • KLEZ(2001年10月)、Bugbear、Opaserv、Redlof • 2003年上半期のウイルス被害、Script型や共有フォルダ経由型が増加傾向 • http://internet.watch.impress.co.jp/www/article/2003/0702/trend.htm • http://www.trendmicro.com/jp/security/report/report/archive/2003/mvr0306.htm • Sobig,MSBlaster,Welchia,Swen

25. 最近の流行

26. 当たり前の事ですが… • 昔のような以下の三点から • 感染しなければ発病しない • 感染しない事が重要 • 自分が次の加害者にならない • 現在は • 情報をいち早く入手 • こまめにセキュリティホールを塞ぎ未然に防ぐ • （特にネットワークに晒されているマシン） • 毎日の管理

28. URL追加（２００６年１０月） • http://guardian.ne.jp/history_Virus.html • http://ken-neko.hp.infoseek.co.jp/example1.htm • http://www.cknow.com/vtutor/HistoryofViruses.html • http://www.cknow.com/vtutor/index.html