研究者ら、Wittyワームの感染源を特定--セキュリティ企業内部者の犯行か

　Wittyワームがわずか75分で世界中のサーバ1万2000台に感染したという1年前の事件について、研究者らはワームの出所を突き止めたことを明らかにした。研究者らは、攻撃がセキュリティ対策企業内部の者による犯行であった可能性があるとしている。

　RealSecureやBlackIceなどInternet Security Systems（ISS）製製品の欠陥を悪用するWittyワームは2004年3月19日に出現した。その攻撃内容は、システムのハードディスク内の情報を破壊するという悪質なもので、Wittyは感染したシステムの半数近くをクラッシュさせた。

　先頃、国際コンピュータ科学研究所（International Computer Science Institute：ICSI）の研究者Vern PaxsonとNicholas Weaver、およびジョージア工科大学の学生Abhishek Kumarが、Wittyに関する新たな情報をまとめた。

　Paxsonらは、Wittyのコードに関する知識と、ターゲット選定に使用する乱数発生器を組み合わせて、同ワームがインターネット上に広まった状況を再現した。

　Paxsonらは、ワームの出所が欧州のインターネットサービスプロバイダ（ISP）のサーバで、ワームのターゲットとして米軍基地のシステムが設定されていた可能性が最も高いことを発見した。

　「われわれが知る限り、感染源のシステムが特定されたのは今回が初めてだ」とPaxsonらは今週オンラインで公開したレポートに記している。同レポートによると、Paxsonらは感染源サーバのIPアドレスを警察に伝えているという。（レポートのPDFファイルはこちら）

　Paxsonらは、ISSの内部の者がWittyを作成したのではないかと疑っている。レポートによると、ワームが急速にまん延したのは、脆弱なシステム110台を記した「ターゲットリスト」のおかげだという。これらの110台は、ワームが放たれた後10秒以内に、これに感染した。これら110台は全て同じ米軍基地に存在していたことも、今回の調査で判明した。

　「したがって、攻撃者はこの米軍基地にISS製品が導入されているのを知っていたと推測できる」とPaxsonらは記している。さらに、攻撃者はISS製品の脆弱性を知っていて、ワームをすばやく作成することができた可能性が高い。このことから「攻撃者はISS内部の人間であることが示唆される」とレポートには書かれている。