Confickerワームはどこから来たのか?ミシガン大学の研究者たちは、広大なインターネットセンサーネットワークを用いて、これまでに1,000万台以上のコンピューターに感染したこのワームのいわゆる「感染源」を追跡し、その起源を解明しようと試みている。(自衛策はこちら。)
同大学は、悪意のある活動を追跡するために約6年前に設置された、いわゆるダークネットセンサーを利用しています。米国国土安全保障省の資金援助を受け、コンピューター科学者たちは世界中のセンサーから収集したデータを共有するために協力しています。
「目標は、実際に感染拡大がどのように始まったのかを解明できるよう、十分に近づくことだ」と、このプロジェクトに携わるミシガン大学の大学院生、ジョン・オーバーハイド氏は語った。
それは簡単な仕事ではありません。被害者を特定できるわずかな手がかりを見つけるために、研究者たちは50テラバイトを超えるデータを精査し、Confickerスキャンの決定的な特徴を見つけ出そうと必死です。
コンフィッカーが移動する手段の一つは、ネットワークをスキャンして他の脆弱なコンピュータを探すことですが、それを確実に特定するのは非常に難しいとオーバーハイデ氏は言います。「難しいのは、コンフィッカーによるスキャン活動を正確に特定することです。なぜなら、他にも多くのスキャン活動が行われているからです」と彼は言います。
しかし、最初の感染者の追跡はすでに行われています。2005年には、研究者たちが2004年のWittyワームの最初の被害者(pdf)である米軍基地を追跡し、攻撃に使用されたヨーロッパのIPアドレスまで特定しました。
しかし、Conficker ほど広範囲に及ぶものが登場してから何年も経っているため、この取り組みを再現する機会はあまりありませんでした。
しかし、10月にConfickerが初めて出現した際、研究者たちは幸運に恵まれました。他のワームはダークネットのIPアドレスをブロックすることでこの種の分析を回避していましたが、Confickerの作者たちはそうしませんでした。「Confickerが完全にランダムにスキャンを行い、私たちの特定のセンサーをブラックリストに登録しなかったことに、私たちは少し驚きました」とオーバーハイデ氏は言います。「彼らがもう少し調査していれば、私たちのネットワークを発見できたかもしれません。」
コンフィッカーの感染拡大直後、ミシガン大学の研究者たちはセンサーの急激な増加を観測し、これをワームのせいだと結論付けました。11月にはネットワークが1時間あたり約2Gのデータを収集していましたが、最近では8Gに近づいています。「ダークネットセンサーで確認されたアクティビティの増加は…信じられないほどです」とオーバーハイデ氏は述べました。「このデータは実際に役立ちます。6ヶ月前まで遡って、このワームが実際に何をしていたのかを確認することができます」と付け加えました。
CAIDA(インターネットデータ分析協同組合)と呼ばれる別の団体も今月初めにConfickerの分析結果を発表しました。ミシガン州の研究者たちは、数週間以内に同様のデータ分析結果を公表したいと考えていますが、最初の感染者を特定するまでには数ヶ月かかる可能性があります。
オーバーハイデ氏は、「目標は、感染拡大がどのように始まったのかを実際に解明できるよう、十分に近づくことだ」と語った。
