いよいよ公開!ア・ゴースト・ストーリーのみどころ紹介!

 特定のネットワーク(特定の会社)のみしか感染しないウィルス(ゲートウェイのIPなどを見て判断する)をその手のプロだと作成することは可能なんですか?

もちろん、私は作れません。w

このQ&Aに関連する最新のQ&A

A 回答 (5件)

こんばんは。



正直ご質問の背景(事情)が良くわからないのですが、「ウィルス」と「特定の相手に対する不正侵入や攻撃」(クラッキング行為など)という言葉とイメージを混同されてしまっているカンジもします。(「誰に対して何をしたいのか」という点をはっきりさせないと、論点が見えてこないと言うことです。)

とは言うものの、わたしなりに説明をさせてくださいネ。

現状では、「ウィルス」という言葉が指す範囲がどんどん広がってきている状態だと思いますが、一般にウィルスをして、「”不特定多数への感染”を目的とした悪意あるプログラムという要素が強いもの」を指す事が多いでしょう。

確かに特定の相手に対する攻撃に「ウィルス的なもの」(悪意あるプログラムやツール)が利用されることもありますが、ご質問で意図されている(と思われる)ウィルスの場合、そういったものとは区別して考える必要があると思います。

細かい違いはともかく、ここでは「ワーム」などを含め、不特定多数への大量感染を目的としたものを一くくりに”ウィルス”と呼ぶ事にします。

そういった意味でのウィルスを考えた場合、ワーム(BlasterやSasserなどが典型例)などのように「宿主を必要とせず脆弱性を突いての自動的な感染拡大を行う」「メールの添付ファイルやその他の広く使われている宿主を経由する」または「これらを含む複数の手法を複合的に利用する」など、いずれにせよ「なるべく効率的に感染を広げる(攻撃先を見つける)機能を持つものであるか否か」が重要になってきます。

爆発的な感染拡大の危険性をはらむ「ワーム」の場合、一般的に「感染先で自らランダムに生成したIPアドレス(攻撃先)」をもとに新しいターゲットを見つけ被害を広げていきます。

いかに効率的にランダムかつ”有効な”IPアドレス(攻撃先)を生成できるかがプログラム(ワーム)の出来・不出来を決めるという側面もあり(単純な乱数計算や足し算をしていくだけでは非常に非効率的で対策(遮断)も楽です。)、この部分のコード(アイデア)の出来は作者の技量(能力)によって大きく変わってきます。

もちろん攻撃先として特定の相手(IPアドレスやドメイン名など)のみを明示的に指定(ハードコーディング)すれば、おっしゃるように特定の相手にしか攻撃を行わないものになりますが、それではあまり意味が無いと言えるでしょう。(後述しますが、特定の相手に対する攻撃(クラッキング)という意味では、もっと有効な手段がいくらでもあるためです。)

先日話題となりながらも意外に大事にならなかった「Sasserワーム」の場合、感染拡大の手法(能力)としては非常にお粗末なものであったと言われていて、仮にプログラムとしてもっと洗練されたものであったなら、比較にならない被害をもたらしたハズだと私も思います。(誤解しないでいただきたいのですが、私は決してウィルスを擁護しているのでは無く、あくまで「プログラム的な性能」を考えた場合の話で、セキュリティーを考えるうえでは「攻撃手法の理解」は非常に重要なポイントです。)

さて、冒頭に「ウィルスは不特定多数への大量感染を目的としている事が多い」と書きましたが、ウィルス作成の目的が「愉快犯」から「金儲け」に変化しつつある昨今の事情を含めると、少し語弊がある表現といえるかもしれません。

最近ではウィルス作者が感染先(主に常時接続の一般ユーザー)を把握出来るタイプのウィルスを撒き、スパムメールの発射台(隠れ蓑)として勝手に利用できるネットワーク(感染先のリスト)をつくり、スパム業者に売り込む(または雇われてそのようにする)ケースをはじめ、特定の内容のスパムメール用にカスタマイズされた亜種(感染済みのノードをさらに悪用するケースもある)が頻出するなど、攻撃先とその目的が明確なものも増えつつあります。

また、一次感染先はバラバラでも、大量の感染先を特定の相手(企業など)に対しての攻撃(DDoSアタックなど、大量の感染先から同時にデータを送りつけ、ターゲットをパンクさせる攻撃)に利用するケースなどは、結果として「特定の相手を狙ったウィルス」と呼べなくも無いでしょう。

しかし、DDoS攻撃などの場合は主に「攻撃先のWebサイトなどを落とす」ことが目的で、逆説的に言うとそれ以外の侵入行為などについては有効な手段ではありません。

不正侵入による悪用やデータの窃盗などが目的ならば、他の手段がはるかに有効です。

書き込みの主旨に反するので具体例は書きませんが、不正侵入を目的としたアタック・ツール(ウィルスが利用するものと同じ脆弱性を突くものももちろんあります。)など、現在ではネット上で簡単に手に入れる事が出来てしまいますし、現実に多くのノード(サーバーなど)が管理の甘いまま侵入のリスクを抱えているのが現状でしょう。

いずれにしても、相手が決まっているなら直接攻撃したほうがはるかに話が早いわけです。

ただし、ガードの甘い内側(LAN上)で悪さ(ルートキット仕込んでバックドアを設置したりなど)を行うため、社内の人間(例えばサポートセンターなど)に対し、「トロイの木馬などを添付ファイルとして仕込んだ”問い合わせメール”」を送信して実行・感染させたり、サボってWebを見ている社員を悪意あるサイト(スパムメールで知らせたアダルトサイトなど)に誘導し、有害スクリプトへのリンクをクリックさせ自動ダウンロードさせたりと、ウィルス的なプログラムが特定の相手へのクラッキングに利用されるケースはあるでしょう。

外部からの攻撃に対してはガチガチに防御されていても、Web(ポート80/tcpや443/tcpなど)経由を含め、内側からの操作(設定変更や接続要求)に関してはガードが甘すぎる組織がまだまだ多いといえると思います。(そういった問題点を突くためにウィルス的なプログラムが利用される事があると言うことです。)

以上、ご質問の内容に対して、「技術的には可能だが、あまり意味が無い。」という点を補足を含めてご説明したつもりです。

少しでも参考にしていただければ幸いです。

それでは。

この回答への補足

回等ありがとうございます。 
でも、サーバー(WEBやプロキシ・SQLなどすべて)はもちろんクライアント、まで感染させ、ある日ある時間に一斉に発病させ、教務をストップさせることは出来ないですよねw。
OSが色々あるため各OSにあわせたものを作成しなくてはいけないかもしれませんが・・・。


 ちなみに聞いたのは少しセキュリティに興味があるからです。ウィルスを実際に作成したりクラッキングするらしい、べりサリンのセミナーは50~60万ぐらいするらしいし、C言語(?)は全く分からないので、受講するのは無理です。それにOSもWIN系しか触れないですしね・・・。

補足日時:2004/06/07 19:39
    • good
    • 0

どうも、#4のJzamraiです。



うーん…

益々ご質問の意図がわからなくなってしまいました。

私自身、決して知識を出し惜しみしたり優越感に浸っているわけではありませんし、lucky_123さんや他の閲覧者の方々にとってのセキュリティー向上に役立つ建設的な質問であれば大歓迎なのですが、どうにも違和感を覚えるというのが正直なところです。

ですので、申し訳ないのですが、私の方からは#4でいただいた補足内容を含め、違和感の(「このサイトの主旨とはズレていないかな~?」と感じる)原因とともに補足説明し、打ち止めにさせていただきたいと思います。(ごめんなさい。)

まず、失礼ながらネットワークを利用した攻撃やセキュリティーについての”具体的かつ詳細な”内容を語るために必要な基礎知識がlucky_123さんに不足しているため、どうも話のポイントがずれてしまっていると感じます。

ネットワーク・セキュリティーについての本質を真に理解されたいなら、まず「プログラム(OSやアプリケーション)」「TCP/IPやイーサネットなどのネットワーク通信のしくみ」などについての基礎をしっかり勉強されるべきだと感じます。(用語をどれだけ知っているかとか、技術者なみの知識があるか否かとか、コードをゴリゴリ書けるかどうかという事ではなく、コンピュータやネットワークというものがソフトウェア・ハードウェア的にどのように動いているのかを知らなければ、具体的な攻撃内容を含めた本質を理解出来ないはずだということです。)

ここで言う基礎知識とは、どんなOSやアーキテクチャにもにも共通する(もっと下位の)要素で、普段利用されているプラットフォームは何であれ、必須のものだと思います。

この辺の基礎知識については、ありがたい事にお金をかけなくても習得の手がかりにできる教材(下記URLのサイトなど)がネット上にも豊富に無料提供されていますので是非有効利用される事をおすすめします。(かく言う私も常に「知らない事だらけ」ですが…。)

■@IT 関連カテゴリーフォーラム■ Copyright(c) 2000-2004 atmarkIT
●<Master of IP Networkフォーラム 総合目次>(TCP/IP基礎学習に有用なレクチャーや関連書籍の紹介もされています。)

http://www.atmarkit.co.jp/fnetwork/index_index.h …

●<Windows Server Insider連載目次>(重要かつ有用な基礎知識習得が可能な各種連載記事が読めます。)

http://www.atmarkit.co.jp/fwin2k/serial/index/in …

●<Security&Trust シリーズ別記事一覧> (ネットワークの基礎知識を身に付けてから読めば非常に役立つ記事が満載です。)

http://www.atmarkit.co.jp/fsecurity/index/indexf …

■IPA(情報処理推進機構)提供教材■(c) 2002 Information-technology Promotion Agency, Japan. All rights reserved.
●<SOHO・家庭向けセキュリティ対策マニュアル(Ver1.20)> (こちらの内容は「広く・浅く」ですが、網羅すべきポイントがうまく整理されていますのでとっかかりとしては有用でしょう。)

http://www.ipa.go.jp/security/fy14/contents/soho …

さて、ネットワーク(情報)・セキュリティーについての具体的な話や事例を真に理解したりイメージできたりするようになるためには、いきなり専門用語や表面的な情報・知識を身に付けようとしたり、ツールを使ってみたり攻撃手法のレクチャーを追いかけたりするのではなく、まずネットワーク(コンピューティング)の仕組みについての基礎知識を勉強するほかに無いであろうという点を再度強調させてください。(これが出来れば後はスポンジのように知識を吸収できるはずです。)

世の中何でもそうだと思いますが、識者と呼ばれる方ほど「基礎が大切だ」とおっしゃるものだとおもいますし、少し話せば相手がその道の本質を理解されているかどうかを一発で見抜いてしまうものだと思います。

>>ウィルスを実際に作成したりクラッキングするらしい、べりサリンのセミナーは50~60万ぐらいするらしいし、C言語(?)は全く分からないので、受講するのは無理です。

ある程度のセキュリティー的な知識や実力を身に付けたいのなら、実際にコードを書けるようになる必要はないでしょう。

もちろん、自分でコードを書ける位の実力とアイデア(発想力)があるなら有用な事だと思いますが、いきなりそれを目指しても無理でしょうし、その必要も無いと思います。

それよりも、ネットワークなどについての基礎を学ぶ事でもう少し具体的な脅威をイメージできるようになれば、防御や対策を行う力は格段に上がるはずです。

ですので、今すぐそのようなセミナーに参加する必要はなく、他に優先順位の高い学習項目が多くあるはずです。

>>でも、サーバー(WEBやプロキシ・SQLなどすべて)はもちろんクライアント、まで感染させ、ある日ある時間に一斉に発病させ、教務をストップさせることは出来ないですよねw。

失礼ながら、lucky_123さんが「攻撃手段=ウィルス」というイメージにとらわれてしまっているため、攻撃手法などについての話のポイントがズレてしまっていると感じます。

「ターゲットのネットワークや業務を止める」という目的ならば、何も全てのノードをウィルス感染させる必要はありません。(そもそも「その目的を達成するためにウィルス的なものはもちろん、ネットワークを経由した攻撃を行う必要があるのか?」というポイントも踏まえる必要があるでしょう。)

ネットワークやサービスを使い物にならなくするためには、「業務(ネットワーク)上重要な経路・ポイントで通信帯域やリソースを使い切り大渋滞させる。」、「業務用のサーバーやアプリケーション(サービス)そのものを落としたり、プログラムやデータを破壊してしまう。」など、「通信不能」や「機能不全」の状態をつくれば良いと言うことになります。(仮に悪意あるプログラムやツールを使うにしても、全てのノードに仕込むのは無意味で無駄な労力どころか、悪意の存在を宣伝して回るようなリスキーな行為だと思います。)

繰り返しになりますが、「ダメージを与える手段=ウィルス感染」だけでは無いという視点で考える必要があるともいえるでしょう。

仮にネットワーク経由で攻撃を行い全てのクライアント(OSなど)は落とせても、人間(従業員)そのものの仕事は落とせませんから、業務そのものを妨害したいという目的ならば、ネットワークを利用するより有効な方法はいくらでもあると思います。

例えば、目覚し時計を入れた「なんちゃって爆弾」を小包で送りつけて、一本電話を入れれれば済む話だと思うわけです。

防御する側から考えれば、ネットワークを使った攻撃でそのような被害を被る可能性は非常に小さいと思います。(もしもデータやリソースの窃盗行為や不正使用が目的ならば、侵入行為そのものを気付かれないようにする事が大切ですから、業務停止に追い込むような無駄なことはしないはずです。)

また、その様な破壊行為やイタズラ(愉快犯など)を警戒する必要性も低いと思います。(内部の者や第三者の恨みを買ったとしても、たまたまそのような行為を実現可能な技術を持った人間が相当なリスクを背負ってまで捨て身で攻撃してくるという可能性は非常に低いといえるでしょう。)

増してや自分自身がその様な攻撃技術を身につける必要も無いとおもいます。(少なくとも、一般的なセキュリティーの話をする上では優先順位の低い問題です。)

さて、これは当たり前の話だと思うのですが、もしもlucky_123さんが実際に誰かを攻撃するための方法を探していたり、100%その様な目的ではないにしろ興味本位で攻撃手法を身に付けたり知りたいと期待されているなら、こんな所で聞くべき事では無いと思います。

故に「攻撃手法についてこれ以上の具体的な話はしたくない。」と言うのが私の正直な心境です。(私が今回のご質問や補足の内容全体から受ける「違和感」とはこの部分です。)

そうではなく、純粋にセキュリティー的な知識や実力をもっと身に付けたいと考えていらっしゃるなら、既述のような基礎知識をまず勉強なさる事をおすすめします。(その上での前向きな質問なら大歓迎です。)

というわけで、長文かつ失礼な物言いも多い内容になりましたが、私からの補足とさせていただき、打ち止めにしたいと思います。

最後に、せっかく書き込みをなさってくださった他の回答者の方に対して、「一言でも良いので何らかのレスポンスはしていただきたいな…。」と思ったりもしています。(すれ違いだったらごめんなさい。)

それでは失礼します。
    • good
    • 0
この回答へのお礼

回答・アドバイス等ありがとうございます。

お礼日時:2004/06/13 14:07

可能

この回答への補足

ご回答・アドバイス等ありがとうございます。

補足日時:2004/06/08 12:33
    • good
    • 0

セキュリテイホ―ルを悪用して感染拡大をするネットワ-クウイルスの場合特定の企業を定めて攻撃することは


出来ないと素人的には思います
ポ―ト開放などでもポ-ト開放をしている全ての
ユ―ザが対象となるので特定企業を狙うことは
不可能なのではないでしょうか
自信はありませんが。
    • good
    • 0
この回答へのお礼

皆様 ご回答・アドバイス等ありがとうございます。

お礼日時:2004/06/08 12:34

 確か NetSky などの最近のウイルスは、シマンティックなどのアンチウイルスソフトメーカへウイルスを“送信しない”ような仕組みがあったと思います。


 つまり、それを逆手にとってウイルスを広める事は技術的には可能でしょう(特にゲートウェイIPなどはPCに情報として容易に取得できますから、ウイルス自体に情報を書き込んでおく必要はないわけですし)。
 あとはFTPやファイル共有のパケットを監視して、接続情報を取得するのをじっと待ち、取得できたら感染を行うような仕組み、もしくはサーバの脆弱性を利用して感染を拡大させる…、などといったものが考えられますね(現にパケット自体は監視可能ですから)。

 まあ、こういうウイルスは、それ相応のスキルがないと作れないんで、私には無理ですが。
    • good
    • 0
この回答へのお礼

ご回答・アドバイス等ありがとうございます。

お礼日時:2004/06/08 12:33

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!


人気Q&Aランキング