パスワードを忘れた? アカウント作成
6454 story

Nachiは日本を狙っていた? 149

ストーリー by Oliver
普段からアップデートは万全に 部門より

sato_rue 曰く、 " ISSはNachiが日本を主なターゲットとしていたという調査結果を発表した。(ZDNet Japanの記事)  Nachiについては、./Jでも過去に取り上げている。このワームについては、中国で作られたのではという分析が為されている。このコメントが大当たりであったわけだ。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • Welchiの言語判定 (スコア:4, 参考になる)

    by kenston (12394) on 2003年09月04日 21時40分 (#391783)

    Welchiの言語判定について処理の流れに沿って詳しく書きます。

    • GetOEMCPとGetSystemDefaultLCIDを呼び出します。
    • OEMCPが437(MS-DOS米国)で言語IDが9(英語)、サブ言語IDが1(米国)ならば米国英語のパッチを当てて処理を終えます。OEMCPが437で、言語IDが9以外またはサブ言語IDが1以外ならばパッチの処理を終えます。それ以外は次へ。
    • OEMCPが936(簡体字中国語)で言語IDが4(中国語)、サブ言語IDが2(簡体字)ならば簡体字中国語のパッチを当てて処理を終えます。OEMCPが936で、言語IDが4以外またはサブ言語IDが2以外ならばパッチの処理を終えます。それ以外は次へ。
    • OEMCPが950(繁体字中国語)で言語IDが4(中国語)、サブ言語IDが1(繁体字)ならば繁体字中国語のパッチを当てて処理を終えます。OEMCPが950で、言語IDが4以外またはサブ言語IDが1以外ならばパッチの処理を終えます。それ以外は次へ。
    • OEMCPが932(日本語)ならばパッチの処理を終えます。それ以外は次へ。
    • OEMCPが949(韓国語)で言語IDが18(韓国語)、サブ言語ID(韓国語)が1(ユーザーデフォルト)ならば韓国語のパッチを当てて処理を終えます。OEMCPが949で、言語IDが18以外またはサブ言語IDが1以外ならばパッチの処理を終えます。それ以外は次へ。
    • パッチの処理を終えます。

    以上でパッチの処理は終了です。日本語の場合はOEMCPを932で比較していて、OEMCPが932ならばパッチの処理を終了させます。結果としてはすべての条件が偽になり何も行われないフランス語/ドイツ語/スペイン語/ポルトガル語などと同じです。しかし日本語の判定(の残骸)があることから、少なくともWelchiの作者は日本語に対しては、他の何もしない言語とは異なり、何か特別な考えがあったと推測できます。

    1つは英語や中国語、韓国語と同様にパッチを当てようとしたものの、日本語のパッチの検証などができずに、結果として条件判定だけが残されたのかもしれません。または日本語の時には特別なことをさせようとしたのかもしれません。

    • by Anonymous Coward on 2003年09月05日 15時02分 (#392162)
      > 1つは英語や中国語、韓国語と同様にパッチを当てようとしたものの、日本語のパッ
      > チの検証などができずに、結果として条件判定だけが残されたのかもしれません。ま
      > たは日本語の時には特別なことをさせようとしたのかもしれません。

      コードの配置から考えると、
      どうにも前者の疑いを捨て切れない。
      もし本当に後者の意図があったなら
      日本語判定をもっと前か後ろに配置するし、
      なおかつどんな些細なことでも実際に特別なことをさせていると思う。
      ただし、実装中の思想が首尾一貫していなかった可能性も考えられる。
      親コメント
  • by hetareDAIO (17407) on 2003年09月04日 10時49分 (#391192) 日記

    日本人に対する啓蒙活動かな?とか言ってみるテスト。お前らしっかりパッチあてておけよ、てか。

    こんなもの、既知の問題だし、笑って流せるようじゃないとまずいと思います。そうでない連中が沢山いるのは知ってますけどね。

    --
    ほえほえ
    • by seoth (17664) on 2003年09月04日 12時35分 (#391296)
      > お前らしっかりパッチあてておけよ、

      本当、「当てておけよ」レベルの話でしたよね(・・・って言うと本件に振り回されたネットワーク管理者さんが報われないか ^^;)。

      この手の話題でいつも思うのが、「”攻撃”にしてはやけに手ぬるいなあ」という事。
      本気で大ダメージを与えようと思えば、例えば企業/政府をターゲットに
      高度なインテリジェント機能でもって重要そうなデータを選んで流出させたりとか、
      それ位の事はやって出来ない事は無いと思うんですが。
      要は、普通は特定のターゲットに対して行われる高度かつ深刻なハッキング行為を、手広く代行してくれるウィルス。

      どなたかそういった被害の事例をご存知の方は居ますか?
      親コメント
      • by hetareDAIO (17407) on 2003年09月04日 13時14分 (#391335) 日記

        どなたかそういった被害の事例をご存知の方は居ますか?
        実際に被害があったか存じませんが、なつかしのマクロウィルス [f-secure.co.jp]なら、高度なインテリジェント機能なんてないですけど、重要なデータが流出する可能性があるものがあったみたいです。

        まぁ、被害を与えようと思ったら、高度にインテリジェンスな機能なんてあまり必要ない訳でして、例えば「最近使ったファイル」の中のファイルをアーカイブして他に送るウィルスなんてのがあれば、なかなかヤバそうだったりします。

        --
        ほえほえ
        親コメント
      • > > お前らしっかりパッチあてておけよ、
        >
        > 本当、「当てておけよ」レベルの話でしたよね(・・・って言うと本件に振り回されたネットワーク管理者さんが報われないか ^^;)。

        はい、モグラ叩き状態でした。
        同じ部署から何回も感染PCが出るんで、
        ユーザの「全部パッチあてました」「大丈夫です」は信じられません。
        アンチウィルスすら入れてなかったし。
        おまえら何度やったら覚えるんだと。

        > この手の話題でいつも思うのが、「”攻撃”にしてはやけに手ぬるいなあ」という事。
        > 本気で大ダメージを与えようと思えば、例えば企業/政府をターゲットに
        > 高度なインテリジェント機能でもって重要そうなデータを選んで流出させたりとか、
        > それ位の事はやって出来ない事は無いと思うんですが。

        言っちゃあ悪いんですが、「HDDのデータを消すWormだったら良かったのに」と思ったりして。
        きちんとパッチ適用している人は、アタックのログが出る程度で問題ないし。
        開発用のサーバなのに何も対処してなかったのが多すぎ。

        > 要は、普通は特定のターゲットに対して行われる高度かつ深刻なハッキング行為を、手広く代行してくれるウィルス。
        >
        > どなたかそういった被害の事例をご存知の方は居ますか?

        出てきて、無知なユーザだけが大被害喰らってくれたらうれしい。

        #httpのリクエストを同時に数千も行えばFireWall+Proxyも落ちるよな、そりゃ。
        #学習しないユーザに振り回された管理者の戯言でした
        親コメント
  • by Anonymous Coward on 2003年09月04日 11時08分 (#391208)
    最近、煽りが多くない? >Oliver氏
  • by Anonymous Coward on 2003年09月04日 11時21分 (#391223)
    自動でのパッチあてを目的とするワームなら、ひたすらに感染PCからのアタックを待ち伏せし、攻撃を検知したらそのPCにだけカウンターアタックをかければいい。
    最小限のコストで感染PCだけを狙い撃ちできるし、最終的には全てのBlaster感染PCにパッチあてワームが感染し、結果的にネットワークのトラフィックはゼロになる。

    しかし、Nachiは自ら感染行動を取り、無駄なPINGも打ちまくる。ここらへんに、善意にみせかけた明確な悪意が見える。
    まぁ、日本をターゲットにしてるってのは、それぞれのお国の事情があるのだろうからアレだけども…。

    #上述のような、カウンターアタックするワームを作りたくなるネットワーク管理者って多いだろうね…。
    #ワームに対するカウンターアタックを合法にするような法律、できないかねぇ。
    • by Anonymous Coward on 2003年09月04日 13時57分 (#391381)
      > しかし、Nachiは自ら感染行動を取り、無駄なPINGも打ちまくる。ここらへんに、善意にみせかけた明確な悪意が見える。

      いいえ、そうではないでしょう。
      それは日本でだけDCOMRPCのセキュリティホール持ちマシンを残すことによって、
      効果的に日本にだけ被害を限定する大規模攻撃を実施する前の下準備だったわけで、
      NachiのPING打ちから始まる感染行動は、作者なりに善意で考えたものでしょう。
      攻撃対象(日本)以外に可能な限り迷惑をかけないように考えたものと思います。
      ただし、作者の考え通りにいかずに、それ自体が迷惑動作になったというだけで。

      Nachiの作者は、2004/1/1以降に本番の攻撃をする予定のはずです。
      日本語版Windowsは、あと四ヶ月足らずの間に完全にこの穴を塞いでいる必要が
      あります。
      そうでないと、本格的な攻撃が始まるとどれだけ凶暴なワームが流されるか
      わかったものではありません。

      マイクロソフトはもちろん、各ISPも、ユーザに対して確実に対策を施すよう
      徹底通達する必要があるでしょう。
      確実にユーザが見て理解するような書類を郵送する、あるいは脆弱性チェックを
      ユーザに対してアグレッシブにかけていくところまで来ているのかもしれません。
      親コメント
    • どんな良薬でも、勝手に投与されたら困ります。

      例え、不老不死の薬でも NG です 。
      好きな人と年を重ねて死んで行く事に、美徳を感じますから。

      A さんの善意を B さんが悪意と感じる事は往々にしてあり得ます。

      # カウンターアタックは、ローカル IP に限定して、
      # 家の中だけとか、会社の中だけとかにすれば、
      # そこの長に許可取れば OK か。
      親コメント
    • Re:やはり悪意でしたか。 (スコア:1, おもしろおかしい)

      by Anonymous Coward on 2003年09月04日 13時40分 (#391360)
      カウンターアタックではなく、
      攻性防壁という名前にすれば無問題。
      親コメント
    • >攻撃を検知したらそのPCにだけカウンターアタックをかければいい。
      tcp_wrappersのブビートラップみたいなやつ?
      あれって打ち合いになってしまうんじゃなかったっけ。
      そういういみでも、やんないほうがいいと思う。

      好まざるアクセスはだまって捨てるがいいと思う。
    • > 自動でのパッチあてを目的とするワームなら、
      > ひたすらに感染PCからのアタックを待ち伏せし、
      > 攻撃を検知したらそのPCにだけカウンターアタックをかければいい。

      そんなことしたら
      「カウンターアタックしているのは誰か」
      • by Anonymous Coward on 2003年09月04日 11時56分 (#391257)
        >カウンターアタックをする実行犯を世界中にばらまくためには
        >まずそのツールを世界中にばらまく必要があり、
        >結局のところnachiと同じ動作仕様になります。

        カウンターアタックした結果、攻撃先PCにはワクチンワーム(?)が
        感染します。
        このワクチンワームに感染したPCに対して、Blasterがアタックを
        かけると、アタック元のPCにさらにワクチンワームが感染します。

        以降、連鎖していけば、Blasterのほとんどがワクチンワームに
        置き換わることになります。

        最初のカウンターアタックはドキドキモノでしょうけど、以降の感染は
        Blasterの影に隠れるため、実行犯のリスクは比較的低いかと。

        この場合のNachiとの相違点は、一方は自ら積極的に感染行動を取り、
        他方はひたすら待ち続けて、Blasterに感染済みのPCに対して選択的に
        感染する、という点です。

        もしNachiが後者を採用していたら、どうなっていたでしょうか。
        Nachi発見当初、zdnn等で比較的好意的な反応があったことを考えると、
        必要悪として受け入れられてしまうかもしれません。
        親コメント
        • > 最初のカウンターアタックはドキドキモノでしょうけど、以降の感染は
          > Blasterの影に隠れるため、実行犯のリスクは比較的低いかと。

          感染速度が低速になるとオリジナルの追跡は楽になるでしょうね
      • >カウンターアタックをする実行犯を世界中にばらまくためには
        >まずそのツールを世界中にばらまく必要があり、

        カウンターアタック後、ワームによって対処された対象マシンも
        カウンターアタックを開始するので、ジワジワと広まって行くでしょう
        まぁただし初期
    • 感染元のPCがFWで守られてたりして、
      カウンターアタックが効かなかったり。

      #そんな状況を自宅で作り出してしまったアホなのでAC
  • Nachiは日本を… (スコア:1, すばらしい洞察)

    by Anonymous Coward on 2003年09月04日 11時39分 (#391241)
    なっち?
  • 中国人を代弁して (スコア:1, すばらしい洞察)

    by Anonymous Coward on 2003年09月04日 12時03分 (#391266)
    ワーム作る人悪い人。
    国籍関係ないアルヨ。
  • 日本語版に他言語のパッチを、強引に当てるようにするのが当然だよな。
  • by Anonymous Coward on 2003年09月04日 11時01分 (#391203)
    > このコメントが大当たりであったわけだ。

    に対しては、もっと良く読めと言いたい。
    まぁ、ワザと別の事を一緒くたにしてるんだろうけど...。

    カットして欲しかったなぁ。
    Oliverサン煽りコメント好きね。
  • by Anonymous Coward on 2003年09月04日 11時13分 (#391215)
    世の中に日本語と英語と中国語と韓国語しかないという前提なら あながちハズレともいえない憶測ですけどね。
    • より厳密に言うなら「パッチがその4言語分しかなかったなら」ですね。

      英中韓以外のパッチは無視した、ということだったかも。
    • ま、ここから言えることは、
      ワーム作者個人もしくはそのチームは
      英語版、中国語版、韓国語版、などのWindowsを保有していたということ。
      初期のexploitが中国発であったことと、
      流出しているワームのソースの一部に書かれている内容も絡めて考えると、
      もしチームでありなおかつチーム内のメンバーの国籍が一致しているならば
      最初に作者は中国国籍であることが疑われる。

      最初にexploitが出た時点で、
      その周辺か
typodupeerror

UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア

読み込み中...