Slammerは10分間で世界中の脆弱なホストの90％に感染～完全自動の防御策が急務

■URL
http://www.cs.berkeley.edu/~nweaver/sapphire/

　韓国のインターネットインフラに多大な被害を与えたウイルスSlammerが、実は10分間のうちに全世界の脆弱性のあるホストのうち90％に感染していたことが最新の調査結果で判明した。現時点で、Slammerは最も感染速度が速いウイルスとなった。

　この調査結果は「15分間で全世界を制圧するウイルスを作ることが理論的に可能だ」とする論文を書いて注目と批判を浴びたカリフォルニア大学バークレー校のNicholas Weaver氏を含むCAIDA、カリフォルニア大学サンディエゴ校CSE、Silicon Defense社、ICIR、LBNL合同チームの共同研究によるもの。

　報告では、Slammerが感染を始めたのは1月25日土曜日05:30UTC頃のことだった。最初の1分間において、8.5秒（±1秒の誤差）ごとに、感染ホスト数を2倍に広げていった。約3分後には、1秒間に5,500万スキャンという最高スキャン速度に達し、その後は帯域幅の不足により伝播速度が衰えていった。全世界の脆弱性のあるホストのうち90％は、このウイルスの発生時点から10分以内に感染したものと推定される。類似性が指摘されるCodeRedは、2001年の7月19日に35万9,000ホストに感染したが、感染ホスト数が2倍に達するのに37分もかかっていた。

Slammer発生30分後の感染の様子

　従来、対象となるホスト数がインターネット上に2万以下しかない場合、ウイルス攻撃などに対して強いと考えられていた。今回の教訓として、10分間で7万5,000ホストに感染するウイルスが可能であれば、1時間かけて2万ホストに感染するウイルスを作ることは難しくないことを著者たちは指摘する。それゆえ、人気のないソフトに対して感染するウイルスにも十分な注意が必要なことも分かった。

　また、このようなウイルスからシステムを防御するには、防御手段が完全に自動的でなければならないと指摘している。サーバー管理者の手作業で、このような速度で伝播するウイルスを防ぐことは不可能だからだ。こうした被害を防ぐための新たな技術開発が早急に必要とされるだろう。

(2003/2/3)

[Reported by 青木 大我 (taiga@scientist.com)]