Code Red (computer worm)とは？わかりやすく解説

Code Red（コードレッド）は、2001年 7月13日にインターネットで発見されたワームである。マイクロソフトの IIS Webサーバが動作するコンピュータを攻撃した。このワームについて最も深く調査したのは、eEye Digital Security のプログラマ達であった。彼らはワームの名称も決めたが、その由来はソフトドリンク「マウンテンデュー」のチェリー味の商品名（CODE RED）と、このワームに攻撃されたWebサイトで見られた "Hacked By Chinese!" という文字列からの連想である（赤狩り参照）。このワームが出現したのは7月13日だが、被害が拡大したのは2001年7月19日のことだった。この日感染したホスト数は359,000に達した^[1]。当日は、世界中のネットワークのトラフィックの急増により、どのサイトへもつながりにくい状態が発生し、唯一インターネットが麻痺した日とされる。

概説

利用された脆弱性

このワームは IIS に付属して配布されたインデックスサーバの脆弱性を利用した。この脆弱性については MS01-033 で説明されている。それによると、ワーム出現の約1ヵ月前にパッチが公開されている。

このワームは自身の拡散のために、いわゆるバッファオーバーランと呼ばれる脆弱性を利用した。'N' を繰り返した長い文字列でバッファをオーバーフローさせ、任意のコードを実行してマシンに感染する。

ワームのペイロード

このワームのペイロードには、以下が含まれる。

感染したWebサイトは次のように表示させられる（最後の部分はネット上での敗北を表す決まり文句となった。外部リンク参照）

HELLO! Welcome to http://www.worm.com! Hacked By Chinese!

インターネット上のIISサーバを探し、さらに感染させようとする。
感染後20日から27日待って、いくつかの固定のIPアドレスにDoS攻撃を仕掛けるようになっていた。攻撃目標にはホワイトハウスのWebサーバも含まれていた^[1]。

感染可能なマシンを探す際に、このワームは IIS の脆弱性のあるバージョンが動作しているかをチェックしていない。さらに言えば、IIS が動作しているかどうかすらチェックしていなかった。そのため、当時の Apache のアクセスログを調べると、以下のようなエントリが頻繁に見つかる^{[注釈 1]}

GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNN

%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801

%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3

%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0

類似のワーム

2001年 8月4日、Code Red II が出現した。Code Red II は、Code Red ワームから派生したものではない。感染方法が同じであるものの、ペイロードは全く異なる。感染したマシンと同じサブネットかまたは異なるサブネットのターゲットを、ある固定の確率分布に従った擬似乱数的な手法で選択する。通常、同じサブネット内のターゲットを選ぶことが多い。さらに、Code Red で 'N' を繰り返していた部分（バッファオーバーランを発生させる文字列）が 'X' の繰り返しになっている。

eEye はワームの発信地がフィリピンのマカティであると考えている（VBS/Loveletter ワームと同じ発信地である）。

脚注

[脚注の使い方]

注釈

^ このワームのペイロードは 'N' の羅列の後の文字列である。脆弱なホストはこの文字列を命令列として実行してしまう。

出典

^ ^a ^b Moore, David; Colleen Shannon (2001年?). “The Spread of the Code-Red Worm (CRv2)”. CAIDA Analysis. 2006年10月3日閲覧。

外部リンク

CERT Advisory CA-2001-19
eEye Code Red advisory
Code Red II analysis
Urban Dictionary における "Hacked by Chinese" というフレーズについての説明

[2] このワームのペイロードは 'N' の羅列の後の文字列である。脆弱なホストはこの文字列を命令列として実行してしまう。

[caida-1] Moore, David; Colleen Shannon (2001年?). “The Spread of the Code-Red Worm (CRv2)”. CAIDA Analysis. 2006年10月3日閲覧。

[1]

[注釈 1]


	All text is available under the terms of the GNU Free Documentation License. この記事は、ウィキペディアのCode Red (改訂履歴)の記事を複製、再配布したものにあたり、GNU Free Documentation Licenseというライセンスの下で提供されています。 Weblio辞書に掲載されているウィキペディアの記事も、全てGNU Free Documentation Licenseの元に提供されております。
TANAKA Corpus	Tanaka Corpusのコンテンツは、特に明示されている場合を除いて、次のライセンスに従います： Creative Commons Attribution (CC-BY) 2.0 France.
京大-NICT 日英中基本文データ	この対訳データはCreative Commons Attribution 3.0 Unportedでライセンスされています。
	Copyright © 1995-2025 Hamajima Shoten, Publishers. All rights reserved.
	Copyright © Benesse Holdings, Inc. All rights reserved.
	Copyright (c) 1995-2025 Kenkyusha Co., Ltd. All rights reserved.
	日本語ワードネット1.1版 (C) 情報通信研究機構, 2009-2010 License All rights reserved. WordNet 3.0 Copyright 2006 by Princeton University. All rights reserved. License
	Copyright (C) 1994- Nichigai Associates, Inc., All rights reserved. 「斎藤和英大辞典」斎藤秀三郎著、日外アソシエーツ辞書編集部編
	This page uses the JMdict dictionary files. These files are the property of the Electronic Dictionary Research and Development Group, and are used in conformance with the Group's licence.

Code Red (computer worm)とは？わかりやすく解説

Code Red

概説

利用された脆弱性

ワームのペイロード

類似のワーム

脚注

注釈

出典

外部リンク

「Code Red (computer worm)」の例文・使い方・用例・文例

「Code Red (computer worm)」の関連用語

Code Red (computer worm)とは？ わかりやすく解説

Code Red

概説

利用された脆弱性

ワームのペイロード

類似のワーム

脚注

注釈

出典

外部リンク

「Code Red (computer worm)」の例文・使い方・用例・文例

「Code Red (computer worm)」の関連用語

Code Red (computer worm)とは？わかりやすく解説