Morris worm
Morris worm(モリスワーム)とは、インターネット上で拡散した初期のワームの1つ。単にインターネットワームと呼ばれることもある。
数千台のマシンをサービス不能に追い込み、報道によって注目された世界初のワームと見なされている。当時、コーネル大学の学生であったロバート・T・モリスによって作られ、マサチューセッツ工科大学(MIT)から1988年11月2日に放たれた。MITから放たれたのは、コーネル大学が起源であることを隠すためであった。ちなみにロバート・T・モリスは1999年 MIT の准教授となった。
アーキテクチャ
[編集]作成者によれば、モリスワームは損害を与える意図で書かれたのではなく、インターネットの大きさを測る目的で書かれたとされている。しかし、意図していなかったコードの性質から危険性が増すこととなった。それは、1つのコンピュータに複数回に渡って侵入し、それぞれの侵入で起動されたプロセスがマシンに負荷を与え、利用不可能な状態にしてしまったことである。モリスワームはUNIXのsendmail、Fingerプロトコル、rsh/rexecなどの既知の脆弱性や、推測しやすいパスワードなどを利用して動作する。ワーム本体が侵入できるのは、BSD 4.x の動作するDECのVAXとサン・マイクロシステムズの Sun-3 だけであった。C言語で書かれた移植性の高い "grappling hook" と呼ばれるソフトウェアコンポーネントがワーム本体をそのマシンに侵入させるために使われ、grappling hook 自体は VAX と Sun 3 以外でも動作したため、ワーム本体をダウンロードする操作が行われ、ネットワークやディスクを圧迫した。
誤算
[編集]拡散機構に致命的な誤りがあったため、害のない知的実験のつもりが、悪意に満ちたDoS攻撃のようなものに変貌してしまった。モリスワームは新たなコンピュータを見つけたとき、そこに既に自分のコピーが動作しているかを問い合わせて侵入するかどうかを決めるようになっていた。しかし単純にこれを行うと、侵入されないようにするのは容易である。ワームの問合せに対して "yes" と答えるプロセスを走らせておけばよい。そうすれば、ワームはそのマシンには侵入しない。これに対する対策は、マイケル・ラビンのモットーである "Randomization" からヒントを得たもので、そのような可能性に対処するため、モリスは応答が "yes" だった場合でも7回のうち一回はワーム本体をコピーするようにした[1]。この仕様は異常な増殖率を生み出してしまった。一部のコンピュータには複数回の感染が見られ、ワームは急速に広がっていった。ラビンはこの誤算を耳にしたとき、「最初にシミュレータでそれを試すべきだった」と指摘した。
影響
[編集]約6,000台のUNIXマシンがモリスワームに侵入されたと言われている。ポール・グレアムはこれについて次のように主張している[2]。
- 私はこの統計量がでっち上げられた場にいた。誰かがインターネットには約6万台のコンピュータが接続されていると言い、このワームはそのうち10%に侵入しただろうということになった。
アメリカ政府説明責任局(GAO)は損害額を1000万ドルから1億ドルと見積もった。
Gene Spafford は、この緊急事態の連絡用として Phage mailing list を作成した。
ロバート・T・モリスは、1986年に成立したばかりのコンピュータ詐欺および不正使用取締法で初めて告発された人物となった。有罪を宣告された(3年間の保護観察、400時間の労働奉仕、10,050ドルの罰金)。
モリスワームは、当時のインターネットに与えた損害(ダウンタイム)の大きさとインターネットのセキュリティ問題を明らかにしたという点で "Great Worm" と呼ばれることもある。"Great Worm" の由来は、J・R・R・トールキンの作品に登場するドラゴン Scatha と Glaurung である[3]。
この事件後、CERT/CCをはじめとするCSIRTが各国に生まれ、インターネットセキュリティの研究が活発化するきっかけとなった。
モリスはこれ以降の一時期、名前がネットに出ることを避けたため、Yahooによる買収直前のViawebのスナップショットではJohn McArtyemという名前が載っている。その後あまり気にかけなくなり、今は普通に名前を出している[4]。
関連項目
[編集]- バッファオーバーラン
- CERT/CC
- 『カッコウはコンピュータに卵を産む』(クリフォード・ストール) - 最後の章で本件に触れている。
出典・脚注
[編集]外部リンク
[編集]- Archive of worm material, incl. papers and code
- An analysis of the worm by Eugene Spafford
- An analysis of the worm by Mark Eichin and Jon Rochlis[リンク切れ]
- "The Morris Internet Worm" by Charles Schmidt and Tom Darby
- RFC 1135 - "Helminthiasis of the Internet" - ワームに関する分析
- "A Tour of the Worm"[リンク切れ], Don Seeley, Department of Computer Science, University of Utah (as posted by Francis Litterio)
- The Morris Worm[リンク切れ]
- A Report On The Internet Worm, by Bob Page, University of Lowell