ワームとオートマトンの動作原理

メディア上に保存され、ユーザーが騙されイベントドリブンで駆動する
トロイの木馬は非常にわかりやすいですが、ワームの動作はいろいろ
調べても腑に落ちない説明文ばかりで悩んでいます。


今まで”ごくごく大まか”に、

ワーム＝スニッファー（またはポートスキャン）機能つきリソースハッカー

だと理解していました。

ゆえに、最初のワーム作成犯人または感染ホスト・クライアントの電源が
落ちていればワームは機能できない、と思い込んでいました。


ところが、あるPCスクールの先生から、

一度放たれたワームは、例え世界中のマシンが電源を落としたとしても
回線ケーブル上に生存し続ける。

と聞いて驚きました。

先生が言うには、
ワームはマシンから独立した生命を持つ。
単独で回線上をさまよい続けるからこそ生物の寄生虫になぞらえてワームと
命名され、恐れられている。

とのことです。

当の先生に深く質問すると、はぐらかされてしまうばかりです。
君がウイルスを作ると困るから、というのは了解できます。
しかしこの先生が本気になったら、一人で世界を乗っ取れる天才ハッカー
だと思うのです。

どうも面白半分でからかわれている気がして、投稿してみました。

そこで、
１：ワームというオートマトンソフトウエアが、銅線や光回線上に保存され、
ホストCPUによる駆動を必要とせず自立的に動き回るには、
どんなアルゴリズムが成立し得るでしょうか？

２：将来どんな掟破り技法が登場するかは別として、現状のウイルス作者
の手口では、
「ワームとはスニッファ実装リソースハッカーである」
という”おおまかな認識”で私は当面大丈夫でしょうか？

No.3 ベストアンサー 回答者： Lchan0211b 回答日時： 2012/02/28 13:29

> スニッフィングやポートスキャンを行なわないワームの場合、

> 実際どんな判断アルゴリズムで標的を発見し、乗り移って増殖するのかを
> もう少し教えて頂いてもよろしいですか？

私は「スニッフィング」については否定していますが、
「ポートスキャン」については否定していません。
むしろポートスキャン動作をするワームは多いと思います。
ただ、ポートスキャン動作をしないワームもあるので、
「スニッファーまたはポートスキャン」という意味だとしても
間違いです。

例えば、Antinnyは、ポートスキャン動作をせず、
Winnyのアップロードフォルダを作って、そこに自分自身と
他の暴露ファイルを入れるだけです。
他のPCへは、Winnyが勝手に拡散してくれます。
Antinnyの動作の仕組みは、以下のURLを参考にしてください。
http://itpro.nikkeibp.co.jp/article/COLUMN/20060 …

「トロイはイベントドリブンで、ワームは非イベントドリブン」
という分類定義も違います。
前述のAntinnyは、トロイでもありワームでもあります。

以下のURLの説明が、各キーワードの意味や違いをきちんと
説明されていると思いますので参考にしてください。
http://plaza.rakuten.co.jp/heisanyougo/diary/200 …


> 多分ウイルスに応用される場合には、変更後のサイズも増加させず一致させたり、
> タイムスタンプも 同一を維持する工夫がされてるのでは？
> と私はにらんでるところです。

それは、他のファイルに感染する「(狭義の)ウィルス」の話です。
「(狭義の)ウィルス」で、ファイル改ざんの痕跡を残さないようにする
というのは、もちろんあると思います。ただそれは、ワームとは別の話です。
前述のAntinnyは、他のファイルには感染しませんが、
自分自身をコピーして自己複製するため、「(狭義の)ウィルス」
ではありません。(もちろん広い意味ではウィルスです。)
「ワーム」でもあり「(狭義の)ウィルス」でもある両方の特性を持った
不正プログラムももちろんあります。
それぞれのキーワードは、分類の際に対象とする観点が違うだけです。


ついでにNo.2さんのお礼に少し反応します。
> 実は先生の煙たい話の中には
> 「何光年も遠い星がｎ年前に爆発し、すっかり鎮火した光が、今頃地球に届いている」
> という量子論まで登場してました。
これは、量子論でもなんでもなく、光は一定速度で進んでいるため、
遠くの星の光が地球に届くまでには時間がかかるというだけです。
煙たい話でもなんでもなく、一般的によく知られている話です。

ただ、そこから回線材質の減衰抵抗が無い場合を想定して
回線内にデータが保存できると考えるのは、(先生ではなく)
あなたが飛躍しすぎだと思います。
技術で減衰を減らすことは可能かもしれませんが、減衰0に
するのは物理的に不可能と考えるのが一般的だし、光回線内に
プログラムを保存しなくても、その光回線の終端や中継点等、
通信経路内にあるネットワーク装置(ルーターやプロキシサーバ)
内のHDDに保存されることは普通にあります。そういう意味で
ネットワーク内にデータを保存することは可能です。ただ、それは
「銅線や光回線上」に保存しているのではありません。

実は先生が飛躍しているのではなく、あなたが先生の言葉の意味を正確に
捉えず、勝手な解釈をして自分で飛躍しているような気がします。

この回答への補足

NO.2さんへのお礼投稿後に入院してしまい、その後ネットが手付かずになしました。
どうかお許し下さいませ。

とても詳しいご解説本当にありがとうございます。

そこで、もう一押し私の誤解ほぐしをお願いできますでしょうか？
入院中に考えていたのですが、
１：
ウイルスの生き残り手段として、
大昔の遅延水銀線メモリーの原理は、超長距離ネットワークにも適合可能でしょうか？
経由DNSで論理上最短距離に処理されてしまうことまでは先生に教わりましたが、
論理的+物理的迂回を余儀なくされた場合、今のネット回線も遅延水銀線的作用をすることがありますでしょうか？

２：
WindowsXPのサービスパックで強制的にファイヤーウォールが標準装備される以前、
「Windowsは初回インストール後、最初のWindowsUpdateを行なう最中にワームが入る」
と盛んに危険性を指摘されていたのを思い出しました。
ここで云われていたワームとは、どのようなものを指していたのでしょうか？
ユーザー側ではmicrosoft.comとしか通信していないつもりでも、
閉じていない他のポートから勝手にミミズのように入ってしまうポートスキャンワームがあった、
そのワーム発信元は必ずオンラインになっていた。
という理解でよろしいでしょうか？
よろしいでしょうか？

補足日時：2012/12/17 19:13

No.4 回答者： Lchan0211b 回答日時： 2012/12/17 23:15

No.1,3です。

> ウイルスの生き残り手段として、
> 大昔の遅延水銀線メモリーの原理は、超長距離ネットワークにも適合可能でしょうか？

なぜ、わざわざ時代錯誤の遅延水銀線メモリの話を持ちだしてまで
ウイルスの生き残り手段を考えようとしているのか、
さっぱりわかりませんでした。

そんなことを考えなくても、No.3回答の後半に書いた通り、
ウィルスはネットワーク上に生き残ることができます。
ただし、ネットワーク上に生き残ると言っても「銅線や光回線上」
に残っているのではありません。実際にはネットワーク装置
(ルーターやプロキシサーバ)内のHDDに保存され、何かの契機で
再びネットワーク上に呼び出されます。
「銅線や光回線上」に残っている必要なんてありません。


> WindowsXPのサービスパックで強制的にファイヤーウォールが標準装備される以前、
> 「Windowsは初回インストール後、最初のWindowsUpdateを行なう最中にワームが入る」
> と盛んに危険性を指摘されていたのを思い出しました。
> ここで云われていたワームとは、どのようなものを指していたのでしょうか？

これがまさにNo.1回答の最後に紹介したCodeRedです。
さらにNimdaというワームもかなり流行りました。
仕組みはCodeRedと同様です。

> ユーザー側ではmicrosoft.comとしか通信していないつもりでも、
> 閉じていない他のポートから勝手にミミズのように入ってしまうポートスキャンワームがあった、
> そのワーム発信元は必ずオンラインになっていた。
> という理解でよろしいでしょうか？

「ワーム発信元は必ずオンラインになっていた。」という意味が
わかりませんが、詳しい仕組みは
http://www.atmarkit.co.jp/fwin2k/insiderseye/200 …
等を参照してください。
今でも「CodeRed」や「Nimda」で検索すれば、詳しい解説がいろいろ
出てくるはずです。

今思えば、CodeRedが流行った2001年は、9.11テロもあった年であり、
ネットの世界も現実世界もセキュリティ意識に大きな影響を与えた年
だったなと思います。

この回答へのお礼

退院後の始末と年末が重なってしまい、またもお礼が遅れまして大変申し訳ありませんでした。

今回大変詳しく教えていただき、本当にありがとうございました。

お礼日時：2012/12/31 21:20

No.2 回答者： Mechirun 回答日時： 2012/02/27 09:32

1.回線上に単体で存在できる(ワーム)プログラムと言うものははありません。

パケットのみで何かを処理できる事はありませんし、何処かしらホストが存在しなければネットワーク内のパケットはルータ同士の通信しかなくワームは消滅します。
というか、ワームは何かしらのホストやパソコンで動作しているものなので、そこで動作しているOSに依存し、WindowsのワームがMacOSでは感染しないように動作するマシンがネットワーク上から無くなればネットワークを流れるワームはいなくなります。
パソコンやホストがいない状態でネットワーク上にワームが存在するなんて事は考えられないし、ネットワーク上や回線上に残るのなら今までのワームがネットワーク上を這い続けるなんておかしな事になります。

2.ワーム=スニファーやポートスキャナーやOSの脆弱性を利用したトロイの木馬の友達という認識で間違いではありません。

この回答へのお礼

どうもありがとうございます。
かなり安心できました。

質問投稿後に、ちょっと不足していたのを思い出しました。
私はこの話を聞いた時、飛躍しすぎてバカにされていると思っていました（今でもそうなんですが）。
実は先生の煙たい話の中には
「何光年も遠い星がｎ年前に爆発し、すっかり鎮火した光が、今頃地球に届いている」
という量子論まで登場してました。

現状ではどこかの媒体に磁気のNSなり光の凹凸なりで2進記録されて、それがメディアの手渡しか
ネットで流通しない限りオートマトンといえども絶滅可能なわけですが、

a:
この先生の極論のように遠い将来、
地球上や衛星回線の総延長が光年単位の長さに達して、
回線材質の減衰抵抗は無いものとする、
…という時代がもしも来たならば、
オートマトン原作者の初回発射～誰かのマシンに受信されるまでの間、
「回線伝送時間（電子の到達時間）＝事実上の保存」となり得るものですか？

b:
極論の技術がない現在でも、パケットの遅配が日常的にありますが、
パケット遅配をオートマトンの生き残り術に悪用される可能性は、ありますでしょうか？

お礼日時：2012/02/28 07:51

No.1 回答者： Lchan0211b 回答日時： 2012/02/27 09:29

その先生もあなたの解釈もおかしいです。

こんな先生が世界を乗っ取れるわけないので安心してください。

ワームとは、自己増殖機能を持った不正プログラムです。
(参考)
http://ja.wikipedia.org/wiki/%E3%83%AF%E3%83%BC% …

> １：ワームというオートマトンソフトウエアが、銅線や光回線上に保存され、
> ホストCPUによる駆動を必要とせず自立的に動き回るには、
> どんなアルゴリズムが成立し得るでしょうか？

銅線や光回線上にプログラム情報を保存することはできません。
プログラム情報を保存できるのはメモリやHDD等の記憶デバイスの中だけです。
ワームとはプログラムなのですから、CPU等、プログラムを実行する命令実行ユニット
がないと動きません。全てコンピュータの仕組みの基本中の基本です。

世界中のマシンが電源を落とした場合、回線ケーブル上には生存できませんが、
HDD内には保存されている場合が多いので、そのマシンが動き出したら再び活動を始めます。

> ２：将来どんな掟破り技法が登場するかは別として、現状のウイルス作者
> の手口では、
> 「ワームとはスニッファ実装リソースハッカーである」
> という”おおまかな認識”で私は当面大丈夫でしょうか？

「スニッファ」とは、パケットの盗聴を意味しますが、
ワームにパケット盗聴機能なんて必要ありません。
http://e-words.jp/w/E38391E382B1E38383E38388E382 …
「リソースハッカー」という言葉は一般的でなく、
おそらく「コンピュータ内のリソースをハッキングするプログラム」
という意味であなたが作った造語なのだと思いますが、
別にリソースをハッキングする機能がなくても自己増殖機能があればワームです。
2001年に爆発的に流行ったCodeRedは、パッチをあててないIISを探し、IISの脆弱性を利用して
大量のPCに感染し、一定期間後に特定のサイトにDoS攻撃を仕掛けるものでした。
(参考)
http://ja.wikipedia.org/wiki/Code_Red

この回答への補足

何度も本当にすみません。

>スニッフィングやポートスキャンを行なわないワームの場合、
>実際どんな判断アルゴリズムで標的を発見し、乗り移って増殖するのかを
>もう少し教えて頂いてもよろしいですか？

この件でとても大事な点が抜けていました。

１：スニッフィング等不要で標的をみつける動作原理の疑問？（上記の通りです）
２：トロイはイベントドリブンですが、ワームはそもそも非イベントドリブンゆえに、勝手に動作し蔓延増殖できる、という定義でよろしいでしょうか？


過去に２回、アンチウイルスもファイヤーウォールも役に立たず泣き寝入りをしました。
そのためにきっちり勉強しなければと思っております。
どうかお助けください。

補足日時：2012/02/28 08:28

この回答へのお礼

おかげで少し安心できました。

スニッフィングやポートスキャンを行なわないワームの場合、
実際どんな判断アルゴリズムで標的を発見し、乗り移って増殖するのかを
もう少し教えて頂いてもよろしいですか？



>「リソースハッカー」という言葉は一般的でなく、
どうもすみませんでした。
マッキントッシュのユーザーなどでは20年近くUIの自己改造用などで常用されていたツールの総称です。
今はWindowsにもたくさん出回っていますので、一度お試しになってみてください。
バイナリ内部のリソースを自由に変更するものを総称しています。
バイト単位で手書き変更するバイナリエディタと違って、リソースハッカーは一種のパッチのような
働きをします。
通常手に入るリソースハッカーはアイコンなどを変更する機能しかありません。

多分ウイルスに応用される場合には、変更後のサイズも増加させず一致させたり、タイムスタンプも
同一を維持する工夫がされてるのでは？
と私はにらんでるところです。

お礼日時：2012/02/28 07:22