SCAN Security Alert #4　ワーム被害の拡大は、IPアドレス探索方法で変わる

　新しいワームが発生した際の影響度について、co.jp サーバの調査結果に基づいて、わが国全体のIPアドレス数、生きているIPアドレスなどを加味したシミュレーションを複数回行った。
　シミュレーションにあたって、下記項目を条件にした遷移確率行列を用い、１つの感染サーバから感染が拡散するシミュレーションを行った。

　感染可能サーバ数
　ヒット率（感染成功率）
　感染開始アドレス
　感染対象探索方法
　単位時間当たり感染活動頻度
　母数となる全体IPアドレス数（固定）
　ドメイン数（固定）
　生きているIPアドレスの分布（固定）

　全体の10%まで感染が拡大する時間は、シミュレーション条件によって、数分間から１日までとかなり大きな違いがでた。

　違いを生んだもっとも大きな要因は、感染対象探索方法である。
　生きてるサーバは、IPアドレス上に平均的に分布しているわけではなく、局所ごとに固まって存在している。したがって、生きているサーバの前後のアドレスには、生きているアドレスが存在する確率が高い。
　そのため、探索方法としては、離れた生きているIPアドレスを探索し、生きているアドレスを発見したら、その周辺を攻撃するという探索方法が有効である。

　複数の感染方法を用いることで、離れていて生きているアドレスに感染する方法も有効である。メールや web を閲覧した利用者に感染するようにすれば、離れた生きているアドレスに感染できる可能性は高くなる。
　サーバ上に残されているログなどのデータから飛び先を探索する方法も有効と考えられる。

　生きているアドレスが存在する場所を100前後指定することも考えられる。この場所をあらかじめワームに仕込んであった場合、感染拡大の速度は飛躍的に向上する。
　生きている離れたIPアドレスのリストは、特殊な技術なしで短期間で作成可能が可能であるため、悪意をもった第三者が多数の co.jp サーバを短期間に感染させることが比較的容易である。
　いうまでもないことだが、感染したサーバ上にあるデータ盗用あるいはサーバを閲覧する一般利用者への受動的攻撃などさまざまな危険性が存在する。

　なお、本シミュレーションは、編集部からの依頼で短期間におこなったものであり、本格的なマルコフ連鎖とモンテカルロ法による追試が必要と考えられる。
　緻密なモデルによるシミュレーションにより、より多くの知見が得られることが期待できる。

[ Prisoner Langley ]

　詳細な調査結果およびデータベースについては、3月29日までの間に限定し、有償配布を行っている。くわしくは　Scan 編集部まで scan@vagabond.ne.jp 媒体関係者の方向けのデータ提供もしております。お気軽に上記アドレスにお問合せください

※ご注意
　この調査結果は、編集部独自の調査、推定方式に基づくものです。
　内容および内容にもとづいて行った活動について一切の保証・責任を負いません。