Code Redとは？わかりやすく解説

Code Red（コードレッド）は、2001年 7月13日にインターネットで発見されたワームである。マイクロソフトの IIS Webサーバが動作するコンピュータを攻撃した。このワームについて最も深く調査したのは、eEye Digital Security のプログラマ達であった。彼らはワームの名称も決めたが、その由来はソフトドリンク「マウンテンデュー」のチェリー味の商品名（CODE RED）と、このワームに攻撃されたWebサイトで見られた "Hacked By Chinese!" という文字列からの連想である（赤狩り参照）。このワームが出現したのは7月13日だが、被害が拡大したのは2001年7月19日のことだった。この日感染したホスト数は359,000に達した^[1]。当日は、世界中のネットワークのトラフィックの急増により、どのサイトへもつながりにくい状態が発生し、唯一インターネットが麻痺した日とされる。

概説

利用された脆弱性

このワームは IIS に付属して配布されたインデックスサーバの脆弱性を利用した。この脆弱性については MS01-033 で説明されている。それによると、ワーム出現の約1ヵ月前にパッチが公開されている。

このワームは自身の拡散のために、いわゆるバッファオーバーランと呼ばれる脆弱性を利用した。'N' を繰り返した長い文字列でバッファをオーバーフローさせ、任意のコードを実行してマシンに感染する。

ワームのペイロード

このワームのペイロードには、以下が含まれる。

感染したWebサイトは次のように表示させられる（最後の部分はネット上での敗北を表す決まり文句となった。外部リンク参照）

HELLO! Welcome to http://www.worm.com! Hacked By Chinese!

インターネット上のIISサーバを探し、さらに感染させようとする。
感染後20日から27日待って、いくつかの固定のIPアドレスにDoS攻撃を仕掛けるようになっていた。攻撃目標にはホワイトハウスのWebサーバも含まれていた^[1]。

感染可能なマシンを探す際に、このワームは IIS の脆弱性のあるバージョンが動作しているかをチェックしていない。さらに言えば、IIS が動作しているかどうかすらチェックしていなかった。そのため、当時の Apache のアクセスログを調べると、以下のようなエントリが頻繁に見つかる^{[注釈 1]}

GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNN

%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801

%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3

%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0

類似のワーム

2001年 8月4日、Code Red II が出現した。Code Red II は、Code Red ワームから派生したものではない。感染方法が同じであるものの、ペイロードは全く異なる。感染したマシンと同じサブネットかまたは異なるサブネットのターゲットを、ある固定の確率分布に従った擬似乱数的な手法で選択する。通常、同じサブネット内のターゲットを選ぶことが多い。さらに、Code Red で 'N' を繰り返していた部分（バッファオーバーランを発生させる文字列）が 'X' の繰り返しになっている。

eEye はワームの発信地がフィリピンのマカティであると考えている（VBS/Loveletter ワームと同じ発信地である）。