モリスワームについて(1)

モリスワームとはなんだったのか

piyokangoさんのハッカーの学校を読んでいく中でモリスワームに関する記述があり、調べてみると大規模な感染を引き起こしていたことが分かったのでまとめてみる。

ワームとは

ワームとは、独立したプログラムであり、自身を複製して他のシステムに拡散する性質を持ったマルウェアである。宿主となるファイルを必要としない点で、狭義のコンピュータウイルスとは区別される。しかし、ネットワークを介して他のコンピュータに伝染していく点では共通しており、同一視されることもある。(Wikipediaより)

 

・独立している

・自身を複製してほかのシステムに感染

・ファイルを必要としない

モリスワームは自己増殖しながらネットワーク経由でほかのPC などに感染していくワームと呼ばれるマルウェアの一種である。

 

モリスワーム

感染経路

・Finger、Sendmail実装の脆弱性を利用

・上記のが利用できない場合rshを利用

rshを使用する場合ログイン情報とパスワードの入力が必要になる。そのため、モリスワームは辞書攻撃による試行を行っていた。

 

個人的に、現在も用いられている辞書攻撃が数十年も前から使われていたことは意外だった。

動作

 システムに侵入後、プロセス名の変更や一時ファイルの削除を行い、暗号化などによって自身を隠ぺいする。その後、ただひたすらにほかの端末に感染を繰り返していくだけのプログラムではあるが、プログラミングにミスがあり、同じ端末に何度も感染してしまった。結果として、複数回感染した端末は動作が遅くなったり、停止してしまう端末まで出てしまった。

規模

当時のインターネットに接続していた端末の一割にあたる6,000台に感染し、影響を及ぼした。

 

分かったことについての考察

  モリスワームの感染力には驚かされたが、感染が広がった要因やログイン試行については現在においても共通する部分が多いように思う。感染に使われたのはプログラムの脆弱性であり、ログイン試行においては辞書攻撃が使われている。現在においては脆弱性の発見や悪用は増加しており、辞書攻撃についてはパスワードとIDの組み合わせのデータベースが作成されている。攻撃の手段としてさらに強力になっていくと考えられる。