「Slammerウイルスの発信元は米国ISP」?
~ロシアKasperskyが感染経過を分析
■URL
http://www.kaspersky.com/news.html?id=970395
| 感染サーバーの国別割合 | |
|---|---|
| 米国 | 48.4% |
| ドイツ | 8.2% |
| 韓国 | 4.9% |
| 英国 | 4.9% |
| カナダ | 4.9% |
| 中国 | 3.3% |
| オランダ | 2.7% |
| 台湾 | 2.7% |
| ギリシャ | 2.2% |
| スウェーデン | 2.2% |
Kasperskyによると、Slammerのコピーが最初に発見されたのは1月20日19時7分のことで、このウイルスのデータは米国のあるISPに属するコンピュータから送信されていた。ただKasperskyでは、このデータを送信した企業の従業員がSlammerを作ったのではなく、そのサーバーが遠方から利用されただけだろうと推測。このサーバーに残されているログファイルから、真犯人の手がかりが得られるかもしれないと指摘する。
同様に1月20日の後刻、オランダのサーバーでもSlammerが発見され、さらに1月23日の20時21分にも、オランダの別サーバーで発見された。Slammerウイルスが爆発的に感染を広げ始めたのは1月25日の朝であるため、その5日間にKasperskyの感知していないところで、Slammerの感染数が臨界点に達したことを示している。
また他のデータの示すところによると、このウイルス大感染の震源は中国にあり、そこから韓国やフィリピンのコンピュータに侵入したと考えられるという。そして米国の西側と中央地域に感染を広げた後、二手に分かれて、一方はオーストラリアとニュージーランド方面へ、もう一方は西ヨーロッパ方面へと感染を広げた。
KasperskyはSlammerに感染した全サーバーにおける各国別の割合を公表したが(表参照)、このデータが示すとおり、Slammerの感染はほとんどすべての国で見られる。このことは最近論文などで指摘されているように、コンピューターウイルスをサイバー戦争に使うというアイディアが非効果的であり、自らも被害にあう可能性があることから、軍事的利用には適さないことを示していると指摘した。
Kasperskyによると、1月27日現在、Slammerの活動はほぼ沈静化している。この理由として、ISPがSlammerによって送信されるデータをフィルタリングしたこと、そして利用者がMicrosoftSQL Serverに必要なパッチをあてたこと、などが挙げられている。
(2003/1/28)
[Reported by 青木 大我 (taiga@scientist.com)]