Code RedIIを駆除するプログラムをリリース

　二人のセキュリティ研究者が別々にCode RedIIに感染したコンピュータを探し、パッチを充てるプログラムをリリースした。一人は、通称"Der HexXer," と呼ばれるドイツのセキュリティ専門家だ。彼が公開したプログラムCodeGreenは、Code RedIIに感染したマイクロソフトの

国際海外情報

2001.9.13 Thu 12:00

　二人のセキュリティ研究者が別々にCode RedIIに感染したコンピュータを探し、パッチを充てるプログラムをリリースした。一人は、通称"Der HexXer," と呼ばれるドイツのセキュリティ専門家だ。彼が公開したプログラムCodeGreenは、Code RedIIに感染したマイクロソフトのIISが動作するインターネットサーバを無作為にスキャンするよう設計されている。同プログラムが感染したIISサーバを見つけると、マイクロソフト社からパッチをダウンロードしてパッチのインストールを試み、同プログラム自身が残した“バックドア”を閉じる。そして、ウイルスが駆除されたホストは、自身でスキャン処理を開始する。

　もう一つのプログラムは、Markus Kern氏が作成したCRcleanだ。同プログラムは、CRcleanが動作するマシンを攻撃するシステムのみを標的にする“消極的拡散ワーム”だ。CRcleanは、感染したシステムにパッチを充て、ウイルスの駆除を試みる。そして、その新しいホストに自身の複製をインストールする。また、CRcleanは日付が2001年11月以降になると、そのシステムから自身を削除し活動を停止する。

　両プログラムのソースコードは9月1日にセキュリティメーリング・リストに投稿された。また、両作成者はそれらのプログラムについて、ベータ版および試験コードであり、教育目的のみに使用されるべきであると警告している。コンピュータ緊急対応チーム（CERT）の広報担当者は上記のような“駆除ワーム”の公開に関し、深刻な倫理的および法的問題がはらんでいると苦言を呈した。それらのプログラムがインターネット上で使用された報告はまだ寄せられていないが、一部のセキュリティ専門家は（使用されるのは）時間の問題だと述べている。また、同ワームがより危険なプログラムに改変されることを危惧する専門家も一部にいる。Incidents.org のウイルス・アナリストによると、CodeGreen とCRclean は共にシステムのウェブサーバ・ログに署名を残すため、サーバ運用者はそれらを識別できるという。