ネットワーク WG
Request for Comments: 1135

J. Reynolds
ISI
1989年12月

English

インターネットの寄生虫病
(The Helminthiasis of the Internet)

このメモの位置付け

このメモは、1988年11月 2日の夕方に放たれたインターネットの寄生虫病(寄生するワームによって引き起こされた感染、もしくは病気)をふり返るものです。この RFC は、インターネットの生涯において発生したイベントについての情報を提供します。このメモは、いかなる標準をも仕様化するものではありません。このメモの配布に制限はありません。

はじめに English

----- "The obscure we see eventually, the completely
apparent takes longer." ----- エドワード R. マーロー

インターネットの寄生虫病は、バークレー UNIX 4.2 と 4.3 が動作している VAX コンピュータと SUN-3 ワークステーションに感染する自己複製プログムでした。それは、オペレーティングシステムと密接に関係づけられたアプリケーション中の既知のセキュリティホールにアクセスすることによって、コンピュータのオペレーションを中断させました。システム管理者の、このプログラムを根絶する努力にもかかわらず、この感染による攻撃は続き、合衆国をまたにかけて他のサイトに広がりました。

この RFC は、感染、悪化および治療法についての概略を提供します。ワームがインターネットコミュニティに与えた影響、倫理的な声明、ニュースメディアの役割、コンピュータ世界における犯罪および今後の予防策が検討されます。文献レヴューにおいては、特に今回のコンピュータ寄生プログラムについて詳述した 4つの出版物をとりあげます。参考文献関連文献の章も、このメモに含まれています。

1. 感染 English

----- "Sandworms, ya hate 'em, right??" -----(映画)「ビートルジュース」マイケル キートン

「ワーム」と「ウイルス」を対比して定義する

「ワーム」は、独立して動くことができ、今いるホスト(宿主)の資源を自らを保守するために消費し、他のマシン上に完全に機能する自らの複製を広めることができるプログラムです。

「ウイルス」は、広めるために、オペレーティングシステムを含むホスト(宿主)に自らを入れ込む小さなコードです。これは独立して動くことはできません。活動させるためには、そのホスト(宿主)プログラム が動かされることを要求します。

寄生虫病の初期段階において、ニュースメディアは、しばしばインターネットワームを「ウイルス」であると引用しました。これは、ワームの検体が抽出されて検討できるようになる前の、コンピュータコミュニティにおける初期の結論でした。いまだに、この困ったものを何と呼ぶかについて議論するコンピュータ科学者もいます。このRFC 中では、「ワーム」という用語を使います。

1.1 感染 - ワームによる攻撃 English

ワームは、バークレー UNIX コードを動かしている SUN ワークステーションと VAX についてのみ有効な攻撃を行いました。

インターネットワームは、ネットワーク越しに広めるために、いくつかの既知のセキュリティホールに依拠していました。2 つのネットワークプログラム中の実装エラーに依拠していました。:sendmail と fingerd です。

sendmail は、インターネットの遠隔サイトとやりとりする電子メールサービス(ルーティングと配信)を実装するプログラムです。[1, 2] 侵害された sendmail 中の失敗は、標準とされていない「デバッグ」コマンドでした。ワームは、自身をデバッグコマンド(debug)を通じて遠隔ホストの中へ広めていました。ワームが自身を新しいホストにインストールするやいなや、自己複製の新たな段階が始まりました。

fingerd は、他のインターネットユーザの公衆情報を提供することによって、遠隔ユーザを助けることが意図されたユーティリティプログラムです。これは、いかなるローカルユーザのフルネームの識別、もしくはログイン名形式である可能性があり、その時点でログインしているか否かに関係ありません。( Finger プロトコル [3] 参照。)

fingerd を利用するのに、ワームは、対応するのには多すぎるキャラクタを fingerd に送ることによって( gets ライブラリルーチンに)メモリーのオーバーフロー状態を起こしました。バッファをオーバーフローさせる際に、ワームは小さな不正プログラムを実行することができました。4.3BSD VAX マシンだけがこの攻撃を煩いました。

その他のワームの手法には、繁殖するために、しばしばローカルネットワーク中で使用される「トラステッドホスト機能」を(rexec と rsh を使用して)攻略することがありました。

ワームは、また、/etc/hosts.equiv にあるマシン、/.rhosts にあるマシン、クラックされたアカウントの .forward ファイルにあるマシン、クラックされたアカウントの .rhosts ファイルにあるマシン、ルーティングテーブル中にネットワークゲートウェイとしてリストされたマシン、「ポイント to ポイント」インターフェイスの向こう側のマシン、それから最初のホップゲートウェイのネットワーク上にある、ランダムに推測されたアドレスのマシンにも感染しました。

インターネットワームは、また、システムに、推測されたパスワードを使用して感染することもできました。典型的には、この手法で、ローカルネットワーク内部で自らを広めました。これは、パスワードを推測することを試み、アクセスする際にワームは、正規のユーザのふりをすることができました。

1.2 悪化 - パスワード解析 English

ワームは、パスワード解析段階に入ることによって悪化しました。( /etc/passwd ファイル中で利用可能なユーザを使用して、)明らかなパスワードでアカウントにアクセスすることを試みました。例えば:パスワードなし、ユーザ名、ユーザ名の後ろにユーザ名をつけたもの、「あだ名」、「苗字」、苗字を後ろから綴ったもの。ワームはまた、アカウントにパーソナライズされた 432 ワードの辞書からのパスワードで侵入すること、アカウントに /usr/dict/words にあるパスワードで侵入することも試みました。

大部分のユーザは、彼らのプログラムが遅くなることに直面しました。それは、システムが多くのワームプログラムのコピーを動作させようとして過負荷になったか、あるいは、多くのワームのテンポラリファイルのコピーが存在した場合、領域が不足したからです。実際にワームは、非常に慎重に自身を隠し、それがシステムを通過したことの証拠をほとんど残しませんでした。感染したサイトのユーザは、マシンによっては /usr/tmp ディレクトリに現れた見慣れないファイルや、sendmail のログファイルに現れた見慣れないメッセージを目にしたことでしょう。

1.3 治療法 English

コンピュータサイエンスの学生とスタッフのチームは、ワームを理解するために熱心に働きました。この鍵は、プログラムの( C 言語)ソース版を入手することと目されました。ワームの分離された唯一の形態は、バイナリコードであったので、努力は主にソースに戻すこと、すなわちコードを逆コンパイルすることと、ワームにどのようなダメージを与える能力があるかを調べることに注がれました。インターネットワームとの戦いにおいて、2つの特定のチームが出現しました。: バークレーチームと MIT チームです。両者は、密にコミュニケートし、コードを交換しました。両チームは、これを精査し、治療法と再感染の防止についての緊急の行動をとることができました。ちょうど通常の医療の医者のように、両チームは、調査対象のワーム検体を探し、発見し、分離しました。検体とその設計上の要素を分析する際に、それを扱い、撃退するための手法を開発しようとしました。UNIX システムウィザードの「OB ネットワーク」の利用を通じて、(何かを見つけるために、知り合いや友人にその答えを聞いたり、誰がほかにその答えを見つけるのに参考になるかを聞きました。)コンピュータ世界に、サイトにおいて sendmail セキュリティホールと fingerd セキュリティホールを塞ぐのに使用することができるプログラムパッチについて通知するために、電子メールや電話が密に利用されました。いったんこの情報がサイトに広められ、これらのセキュリティホールがパッチされると、インターネットワームは止められました。ワームは、感染したトラストされたコンピュータにまだ残っていない限り、同じコンピュータに再感染することはできませんでした。

特に、大学の研究センターにいるコンピュータサイエンスのスタッフの努力によって、インターネットワームは、それが出現してから 48-72 時間以内に、大部分のコンピュータから根絶されました。政府と商務省は明らかに、この寄生虫病を理解するのに参画し、根絶することにおいて緩慢でした。

2. 影響 English

----- "Off with his head!!!" ----- 赤の女王「不思議の国のアリス」

1988年11月のインターネットワームの後、コンピュータコミュニティにおいて、2つの線が描かれました。一方のグループは、ワームプログラムのリリースは、無邪気なアクシデントで、ワームはテスト中に「エスケープした」と主張します。しかしワームプログラムが放たれたら、チェックされずに広がっていくことは明らかでした。他のグループは、ワームはすでにこの問題を知っていたコミュニティーに対してセキュリティホールを派手に指摘しようとしてわざと放たれたが、それらを解消することについては自己満足に終わっていた、と主張します。しかし、問題を知らせるためにわざわざ全世界を麻痺させることは、必要不可欠ではありません。

両グループは、ワーム感染が広く認識を高めるための「実験的」もしくは「計画的」なものであろうが、コミュニティは容赦できないということには同意しています。 なぜならば、そのような無責任な行為の結果は、破滅的なものになる可能性があるからです。他方、いくつかのニュースメディアは、セキュリティホールを暴露することによってワームの作者はコンピュータコミュニティーに尽くしたのであり、バグやセキュリティホールはインターネットワームプログラムのような大胆な手法なしには解消されなかっただろう、と表明しました。

短期的には、ワームプログラムは、コンピュータコミュニティのセキュリティホールの認識を高めました。また「OB ネットワーク」は、まだ生き残っており、健在であることを証明しました!ネットワーキングとコンピュータが全体的に、ここ 20年間にわたって飛躍と躍動の成長を続けた一方で、インターネットコミュニティには困難に直面した時にお互いに信頼してコミュニケートすることができる「OB たち」がいたのです。

長期的には、寄生虫病の結果は、完結していません。多くのサイトは、彼らのマシンへのアクセス制限を施しました。インターネットから完全に切り離すことを選んだサイトは、ほとんどありませんでした。コンピュータ犯罪としてのインターネットワームプログラムの法的結論は、いまだに保留されており 10年後までその状態のままかもしれません。一方、門外漢のレベルにおいては、コンピュータ犯罪の問題は、社会的な問題とされています。法規は、事後的に法規制するものですが、それは解決の一要素にすぎません。執行可能な法とともに、コンピュータコミュニティーが執行可能で世界的に通用するような倫理の標準を開発しることが、コンピュータ犯罪を根絶するのに役立つはずです。

3. 倫理とインターネット English

----- "If you're going to play the game properly,
you'd better know every rule." ----- バーバラ ジョーダン

倫理的行動とは、認められた専門的な行動の標準に従ったものです。; 一連のモラルもしくは価値において、何が善であり、何が悪であるかを扱うものです。最近まで、大部分のコンピュータ専門家やグループは、倫理の問いについて特別な関心をもっていませんでした。

インターネットワーム後に、組織やコンピュータ専門家グループが独自の「倫理についての声明」を発行しました。IAB (Internet Activities Board)、NSF (National Science Foundation)、MIT (Massachusetts Institute of Technology)、CPSR (Computer Professionals for Social Responsibility) によって発行された倫理に関する声明について、以下で検討されています。

3.1 IAB English

IAB は、1989年 1月にインターネットの資源の正しい利用に関するポリシーの声明 [4] を発行しました。( 1989年 6月に ACM の the Communications において再版されました。)抜粋します。:

インターネットは、広く利用可能であることと、アクセス可能であることに大きな利用価値がある国家的なファシリティです。この極めて重要な資源の無責任な利用は、技術的なコミュニティに、その継続的な利用可能性について計り知れない脅威をもたらします。

U.S. 政府のこのシステムのスポンサーは、一般公衆に対して、政府資源を賢明に、かつ効果的に配備する受託者の責任を負います。このシステムのサポートに対する司法管轄は、高度に混乱をもたらす濫用が起きた場合、問題をかかえます。インターネットへのアクセスと利用は特権であり、すべてのこのシステムのユーザによるアクセスと利用として扱われる必要があります。

IAB は、NSF (the National Science Foundation Division) DNCRI (the Division of Network, Communications Research and Infrastructure) の DAP (the Division Advisory Panel) の視点を強く支持します。これは、意訳すれば、意図的な下記のすべての活動を、非倫理的かつ受容不能と特徴づけたものです。:

(a) インターネットの資源への認可されていないアクセスを得ようとすること
 
(b) インターネットの意図された用途を妨害すること
 
(c) このような活動によって資源(人、能力、コンピュータ)を無駄にすること
 
(d) コンピュータベース情報のインテグリティを破壊すること、かつ/または
 
(e) ユーザのプライバシーを侵すこと

インターネットは、一般的な研究環境に存在しています。これの部分は、ネットワーク上での研究や実験をサポートするのに使用され続けています。インターネット上の実験は、そのすべてのコンポーネントやユーザに影響を与える可能性があるので、研究者たちは、作業の実行において十分に注意する責任を負っています。インターネット規模の実験の実行において、不注意は無責任であり、かつ受容不能です。

IAB は、インターネットをより混乱されにくくするための技術的/手続き的機構を識別/設置するために、連邦政府エージェンシーや他の関連主体と協力して、可能なあらゆる活動を行うことを計画しています。しかし、そのようなセキュリティは、インターネットをこれだけ価値あるものにしている情報の自由な流れを抑制するならば、高額である可能性があり、非生産的である可能性があります。最終的な分析において、インターネットの健全さは、残念ながらユーザの責任です。システムに混乱をもたらし、その長期的存在意義に脅威をさらすような濫用をガードしなければなりません。

3.2 NSF English

NSF は、1988年11月30日に、DNCRI (Division of Networking and Communication Research and Infrastructure) の定例ミーティングにおいて、倫理的ネットワーク利用の声明を発行しました。( ACM の the Communications( 1989年 6月号)[5] で再版されました。)これは、その中において以下のように述べています。:

NSF ネットワーク・通信研究・インフラストラクチャ部門(DNCRI: Division of Networking and Communication Research and Infrastructure)の 部門アドバイザリパネル(DAP: Division Advisory Panel) は、国家的ネットワーク資源に混乱をもたらす倫理的行動の逸脱を遺憾であるとしています。

産業界、政府、学会は、研究と学術助成のサポートを受けてコンピュータネットワークを築きました。最近のイベントは、ネットワークの倫理的利用ためのコミュニティ標準を築くことの重要性を強調しました。これに関して、DNCRI DAP は、故意もしくは過失による下記のいかなる活動も非倫理的であると規定しています。:

a. ネットワークの意図された用途の妨害

b. このような行動によって資源(人、帯域もしくはコンピュータ)を無駄にすること

c. コンピュータベース情報のインテグリティを破壊すること

d. ユーザのプライバシーを侵すこと

e. 予定されていなかったコントロールと根絶のための資源の浪費

我々は、ネットワークを管理/運営している組織に、倫理的行動についてのポリシーや標準を採用し、公表することを推奨します。我々はまた、これらの組織が侵害に対して適切な紀律を執行するための運営手続きを採用し、この分野において規制を草稿するのに適切な主体と協働することを推奨します。

3.3 MIT English

MIT は、1985-1986 における "Teaching Students About Responsible Use of Computers" という題名の(そして 1989年 6月に ACM の the Communications [6] に再版された)倫理の声明を発行しました。倫理の公式声明は特に、意図した用途についての MIT の立場、プライバシーとセキュリティ、システムインテグリティ、知的財産権について概観しました。

これらの標準は、学術的な手続きのもと「the MIT Bulletin」において、合理的、倫理的、専門家的なやり方で行動するためのコミュニティのメンバーを募ることを略述しました。MIT コミュニティのメンバーはまた、MIT の誠実な個人的行動の標準に準拠した、システムを利用するにあたっての責任論を持ち出しています。

3.4 CPSR English

CPSR は、1988年に「コンピュータウイルス」についての声明を発行しました。(ACM の「the Communications(1989年 6月) 」 [7] に再版されました。)CPSR は、以下のように確信しています。:

このインシデントは、特に軍事と防衛関連機能における我々のコンピュータネットワークへの依存性についての極めて重要なレヴューを促すことになるでしょう。最近のウイルスの広がりを許容してしまったセキュリティホールは、最終的には解消されるでしょうが、他のセキュリティホールは残るでしょう。セキュリティホールは、いかなるコンピュータネットワークにおいて不可避であり、一般用とのコンピューティングをサポートするネットワークに広まっており、広くアクセス可能です。

既知のセキュリティホールを正す効果的なやり方は、彼らが正すことができるようにセキュリティホールの記述を公表することです。それゆえ我々は、最近のウイルスの技術的記述を封じ込める努力を近視眼的と見ています。

CPSR は、革新、創造性、アイディアのオープンな交換は、特定の先進性や技術的成果の材料であると確信しています。インターネットのようなコンピュータネットワークは、この交換を整備します。我々は、コンピュータ研究者がお互いにアイディアを交換する能力を制限する可能性があるポリシーをもつつもりはありません。軍事や金融ネットワークのような、よりセキュアなネットワークは、シャープにアクセス制限しており、限られた機能を提供しています。政府、産業界、学会は、多くのユーザにオープンアクセスを提供するネットワーク技術の継続的な開発をサポートする必要があります。

コンピュータウイルスは、コンピュータコミュニティと広く社会に、明確な警告を送りました。我々は、この契機に、我々が対応しなければならないコンピュータネットワークの脆弱性と技術的/倫理的/法的選択肢について、延長して長期的に公衆における議論をまき起こすことを期待します。

4. メディアの役割 English

----- "You don't worry about whether or not they've
written it, you worry whether or not they've read it
before they go on the air." ----- (テレビ番組)「パット サジャック ショー」リンダ エラビー

飛行機事故、闘犬ブルドッグが人を襲う、水不足、洪水 ... 望もうと望むまいと ... 現場にはメディアがいました。予想できたように、インターネットのワーム侵入を把握して、その大流行をセンセーショナルに煽った報道メンバーもいました。(NASA Ames や Lawrence Livermore のようなサイトなど、)サイトは名指しされ、「侵害され」ているところであると指摘されました。コンピュータセキュリティの質問はひっきりなしでした。国家セキュリティの質問がもっぱら続きました。報道によって言い立てられたワームの犯人像は、「天才」もしくは「ヒーロー」のようである傾向がありました。

インターネットが寄生虫病にかかっている間、このニュースメディアの「侵略」を扱うのは困難でした。立ちはだかるニュースレポーターとマイクロフォンによる火事を消火する作業です。「時は金なり」です。中でも U.C. バークレーグループは、彼らをひっきりなしに追いかける報道陣によって作業をなし遂げるのに問題が生じたと報告しています。 MIT では、情報提供で報道陣に情報を与え、満足させつつ、治療作業をしている学生とスタッフから遠ざけたニュースオフィスが讃えられました。

適切な対応とは何でしょうか??MIT では、インターネットワームについて注意深く草稿された報道陣への「技術的」な声明が、ほとんど筋が通らない報道発表になってしまいました。報道による誇張と「味つけ」は、よくあることでした。Eichin と Rochlis によれば、「我々はテレビ取材班に、ウィルスによって引き起こされ視覚的なものは何も見せることができませんでした。これは、結果的に通常のメディアの要求であるとともに、落胆させることでもありました。代わりに彼らが注目していたのは、そのようなことよりも「コンピュータトーク」を話しながらワークステーションを見つめている人間でした。」[10]

コーネル大学が学長に提出した報告書は、報道に対して以下のように非常に批判的でした。: 「コミッションは、メディアがこの種の活動の価値と技術的洗練を誇張することによって、はるかに良い大学院生の公衆には宣伝されない業績が覆い隠されてしまう懸念を示唆します。; その学生たちはコンピュータサイエンスに建設的な貢献をもたらし、辛抱強く製作した論文で知識を前進させ、その仕事を同僚によって精査し評価されるものであり、大衆報道に説明すべきものではありません。」[9]

5. コンピュータ世界における犯罪 English

----- "A recent survey by the American Bar Association
found that almost one-half of those companies and
Government agencies that responded had been victimized
by some form of computer crime. The known financial loss
from those crimes was estimated as high as $730 million,
and the report concluded that computer crime is among
the worst white-collar offenses." ----- 1986年「コンピュータ詐欺と濫用法」

ホワイトカラー犯罪という用語は、1939年に、有名なアメリカ人犯罪学者 Edwin Sutherland によって最初に使用されました。Sutherland は、主に下層階級(ブルーカラー)の活動であるとする一般的な視点は、まったく罰せられずに法を侵害したどろぼう男爵や、産業界の艦長たちの活動を考慮しないという失敗に基づいていたと主張しました。

今日この時代、ホワイトカラー犯罪とは、サラリーを得ている人、もしくは専門家によって、その仕事を関連して行なわれた法の侵害のことをいいます。コンピュータ犯罪は、この分類に識別され、含められています。一方、法執行エージェンシーは経緯的に、この新しい事象について、ほとんど注目していませんでした。法廷や判決言い渡しが行われた場合、投獄されるよりは、無罪や執行猶予の結果になりがちです。1970年代後半において、FBI の ABSCAM 捜査 (1978-80) が何人かの合衆国立法者を贈収賄と関連する量刑、という判決言い渡し結果になったとき、シフトが明確になりました。

インターネットワームプログラムのコンピュータ犯罪としての法的な解釈は、依拠できる事例がほとんどないので、いまだに保留されています。連邦レベルにおいては、HR-6061、"The Computer Virus Eradication Act of 1988" (Herger & Carr) が合衆国議会に提出されました。州レベルにおいては、いくつかの州が独自の法令を検討しています。時がたてば分かるでしょう。

当面、コンピュータネットワークセキュリティは、最近の DDN Security Bulletin [12] に記述されているように、いまだに侵され続けているようです。

6. 今後の予防策 English

----- "This is a pretty kettle of fish." ----- Queen Mary to
Stanley Baldwin at the time of Edward VII's abdication

このような大流行を防止するためにコンピュータコミュニティは全体として、どのような役割を、果たすことができるでしょうか?なぜ、多くの人たちが sendmail の debug 問題や fingerd のオーバーフロー問題を認識していたにもかかわらず、既存のシステムに適切なフィックスがインストールされていなかったのでしょうか?

様々な意見が出されました。:

1) コンピュータ倫理は、深刻にとらえられねばなりません。大学を卒業した新人のコンピュータ専門家たちには、コンピュータ倫理の標準は極めて重要です。コンピュータを使うならば「古い」の専門家も「新しい」専門家も「すべて」彼らのアプリケーションについて責任を負っているのです。
 
2) インターネットを「支えている勢力」(IAB、DARPA、NSF、等)は、ネットワークセキュリティにおける現時点の問題を追跡し、その欠陥の原因を解消させるようにする必要があります。
 
3) ネットワーキングにおけるオープン性と情報の自由な流れは、正当に維持される必要があります。それらは寄生虫病において、感染の分析と治療を促進したことによってその存在価値を示しました。
 
4) 地球的視野の一連のコンピュータの倫理に基づいて、侵害行為を扱い、裁き、執行するような委員会、もしくはエージェンシー「警察」パネルの設立を、促進し調整しましょう。
 
5) 「コンピュータ犯罪」の連続的インシデントは、コンピュータコミュニティでプロフェッショナリズムや倫理的標準の欠如していることを示しています。この RFC で検討したような倫理声明は、公表されるだけでなく、実行される必要があります。引続き、コンピュータコミュニティーを保護するための倫理と責任についての規約を導入する必要性があります。

7. 文献レヴュー English

----- "Everybody wants to get into the act!" ----- ジミー デュランテ

ワームの侵略直後に、極めて多くの文献や論文が公表されました。書籍、文献や他の文書が書き続けられており、この題目で出版されています。(第 9 章、関連文献参照。)この RFC においては、レヴュー対象に 4つのものを選びました。: 大学の学長に提出された "The Computer Worm" についてのコーネル大学レポート [8] 、Eichin と Rochlis の "With Microscope and Tweezers: An Analysis of the Internet Virus of November 1988" [9]、Donn Seeley の "A Tour of the Worm" [10]、Gene Spafford の "The Internet Worm Program: An Analysis" [11] です。

7.1 コーネル大学レポート English

「コンピュータワーム」についてのコーネル大学のレポートは、1989年 2月 6日に、the Commission of Preliminary Enquiry(予備調査のコミッション)によって大学の学長に提出されました。構成員は以下の通りです。:Ted Eisenberg(法学)、David Gries(コンピュータサイエンス)、Juris Hartmanis(コンピュータサイエンス)、Don Holcomb(物理)、M. Stuart Lynn(Office of Information Technologies (Chair))、Thomas Santoro(Office of the University Counsel)。

イントロダクションは、コミッションの趣旨と目的の段階を設定しています。:

1) インターネットのワーム感染において、話題となっていたコーネル大学コンピュータサイエンス大学院生の関与に関するすべての証拠を積み上げ、話題となっていた大学院生が加害者であったのかを判断するために収集された証拠を調査すること。
 
2) コーネル大学コミュニティの他のメンバーの潜在的関与に関するすべての証拠を積み上げ、他のコーネル大学コミュニティのメンバーがワームをインターネット上に放ったことに関与していたか否か、または、事前にワーム蔓延の潜在的可能性を知っていたか否か、を判断するために、そのような証拠を調査すること。
 
3) 侵害された関連するコンピュータポリシーや手続きがあれば、どれがかを判断し、このようなポリシーや手続きに、この種の潜在的将来のセキュリティ侵害を禁止するするためにモディファイされる必要があるものがあるか、に関して学長に準備的に進言するために、関連するコンピュータポリシーと手続きを評価すること。

発見事項とコメントにおいてコミッションは、コーネル大学コンピュータサイエンス修士 1 年の学生を、話題になっているようにワームを作成し、インタネット上に放った、と名指ししました。発見事項の章は、下記のことも検討しています。:

1) ワームの侵略の影響
2) ワームを止めるための緩和の試み
3) コンピュータ濫用ポリシーの侵害
4) 意図
5) セキュリティ態度と知識
6) 技術的洗練
7) コーネルの関与
8) 倫理的考慮事項
9) コミュニティ声明
10) コーネル大学のコンピュータ濫用についてのポリシー

このレポートは、ワームプログラムの認可されていないパスワードの収集と、国家ネットワーク上にワームを撒いたことは誤っていたと結論付けました。コミッションはまた、メディアレポートに反して、コーネル大学は、ワーム感染を許容しなかったし、ワームプログラムを放ったことを英雄的イベントとして布告もしなかった、と否認しました。コミッションは、学術助成的な研究の自由な交流と、大学/研究コミュニティにおける合理的信頼を引き続き推奨しました。

ワームプログラムの背景、調査の方法、証拠の紹介、解釈と発見事項、謝辞、拡張的な補遺もまた、コミッションのレポートに含められています。

7.2 "With Microscope and Tweezers: An Analysis of the Internet Virus of November 1988" English

Eichin と Rochlis の "With Microscope and Tweezers: An Analysis of the Internet Virus of November 1988" は、ワームプログラムの詳細な検討を提供します。この論文は、ワームプログラムの主要なポイントを検討し、戦術、記録、教訓やオープンな論点、謝辞をレヴューしています。;他に、ワームプログラム についてサブルーチンごとに詳細な補遺、人物の配役についての補遺、参考文献の章が含まれています。

用語「ワーム」対「ウイルス」の議論が表現されています。著者たちは、ワーム感染ではなく「ウイルス」感染だったと結論付けました。それゆえ、彼らの文書において「ウイルス」という用語を使用しています。第 1 章において、コンピュータサイエンティストの用語による目的と目標が定義されました。ウイルスの内部的動作を見出すためには、3 つのステップがありました。:

どのようにウイルスは攻撃し、誰を攻撃したか、について主要なポイントが略説されました。:

どのように入り込んだか。

誰を攻撃したか。

何を攻撃したか。

何をしなかったか。

第 2 章において、ウイルスによる攻撃の標的が検討されました。これには、sendmail デバッグモード、finger デーモンバグ、rexec とパスワード、rsh、トラステッドホスト機能、情報の流れが含まれています。ウイルスの自己防衛の記述は、どのようにこれが足跡を隠したか、マシンやシステム管理者に検知されないようにどんなカムフラージュを使用したか、を含んでいます。セキュリティホールは、3 つの題目において分析されました。: 再感染予防、発見法、利用されなかった脆弱性。

ウイルスを止めるために多くの防御策が着手されました。感染したシステムのエンドユーザにとって、便利なものも、不便なものもありました。この文書において述べられているものには、以下のものがあります。:

ウイルスが診断された後、(ウイルスの初期辞書を含む)パスワード攻撃を再現するツールが作成され、インターネットに投稿されました。システム管理者たちは、システムで使用しているパスワードを分析することができました。

第 3 章は、1988年11月 2日水曜日から 1988年11月11日金曜日(東部時間)の間に起きたイベントを記録しています。第 4 章においては、教訓とオープンな論点がヴューされ検討されています。:

将来のための一般的なポイント:

Appendix A は、ウイルスプログラムをサブルーチンごとに記述しています。サブルーチン間の情報の流れは、19 ページに図示されています。Appendix B は、ワームの辞書に組み込まれた 432 ワードを提供しています。Appendix C は、ウイルスを撃退する際の「人物の配役」をリストしています。

7.3 "A Tour of the Worm" English

Donn Seeley 氏の "A Tour of the Worm" において、この特定のワームプログラムの「walk thru」として、仕様的詳細が提供されました。この論文は、概要で始まり、はじめに、ワームの発見における詳細な記録、略説、ワームの内部、私的提言、そして結論となっています。

記録の章は、現在知られている日付や時刻(PST 時間)の部分的なリストを提供しましています。記述的な略説においてワームは、(C 言語で記述された 99行のブートストラッププログラム)+(VAX と 様々な Sun-3 バージョンにおいて利用可能であった再配置可能な実行ファイル)として規定されました。Seeley は、ワームの活動を攻撃と防御の 2 つのカテゴリに分類しました。攻撃は、侵入するためにホスト(とアカウント)に位置どること、ワームのコピーを転送し、それを実行するためにリモートシステム上のセキュリティホールを攻略することから成っていました。防御戦術は、3 つのカテゴリに分解されます。:侵入の検知を予防すること、プログラムの分析を 抑制すること、他のワームを認証すること。この特定のプログラムを分析する際に、Seeley は、プログラムが何をしたか、と同じくらい、それが何をしなかったか、を固めておくことが重要であると述べています。:

このワームは、システムのファイルを消去しなかった。

このワームは、既存のファイルをモディファイしなかった。

このワームは、トロイの木馬をインストールしなかった。

このワームは、暗号化されたパスワードを記録したり、転送したりしなかった。

このワームは、スーパーユーザ特権をキャプチャすることは試みなかった。

このワームは、UUCP、X.25、DECNET、BITNET 越しには広まらなかった。

このワームは、TCP/IP 上に特化して標的としてた 。

sendmail、fingerd、rexec のようなバークレーネットワークプログラムを使用するようにモディファイされていない限り、このワームは System V システムに感染しなかった。

第 4 章において、ワームの「中身」が検証され、記述されています。ワーム中のコントロールのメインスレッドが分析され、ワームのデータ構造の検証が提供されています。ワームの数の増殖、セキュリティホール、ワームの rsh と rexec ネットワークサービスの利用、システムへのエントリを得るための TCP finger サービスの使用、sendmail 攻撃が検討されています。パスワードクラッキングと、より早いパスワード暗号化アルゴリズムが検討されています。

提言の章では、「想像したがる平均的システム管理者」が聞きそうな質問が検討されています。:

ワームはダメージをもたらしたか?

ワームは悪意あるものであったか?

出版物、もしくはワームの詳細は、セキュリティをさらに侵害するのか?

7.4 "The Internet Worm Program: An Analysis" English

Gene Spafford 氏の "The Internet Worm Program: An Analysis" は、UNIX ベースシステム中のユーティリティプログラムにあるセキュリティホールを攻略したワームプログラムによるインターネットの感染を記述しました。彼のレポートは、ワームのコンポーネントの詳細な記述を提供します。:データと関数。彼は研究の焦点を、2 つの完全に別個のワームの逆コンパイルしたものと、VAX アセンブラ言語に逆コンパイルされたバージョンに置きました。

第 4 章において Spafford 氏は、どのようにワームプログラムが機能したかについての高度な例を提供しました。ワームは、2 つの部分から構成されています。:main プログラムとブートストラップ(もしくはベクター)プログラムです。感染させられたホストの観点からの記述が提供されました。

第 5 章は、データ構造とプログラムのルーチンの構成を記述しています。:

1) ワームは、ほとんどグローバルデータ構造をもっていなかった。

2) ワームは、ホストレコードのリンクされたリストを作成した。

3) ワームは、システム "netstat" コマンドを利用して、シンプルなゲートウェイ IP アドレス集を作成した。

4) 今いるホスト上でアクティブな各ネットワークインターフェイスについての情報で、レコード集が埋められた。

5) リンクされたレコードのリストが、ユーザ情報を保持するために作られた。

6) プログラムは、ワームを構成していたファイルをもった「オブジェクト」集を保守していた。

7) 単語のミニ辞書が、パスワード推測に使用するためにワーム中にあった。

8) プログラムによって使用されたすべてのテキストストリングは、小さな辞書中の単語を除いて、ビットパターン 0x81 でマスク(XOR)されていた。

9) ワームは下記のルーチンを使用しました。:

セットアップとユーティリティ:
main, doit, crypt, h_addaddr, h_addname, h_addr2host, h_clean, h_name2host, if_init, loadobject, makemagic, netmastfor, permute, rt_init, supports_rsh, and supports_telnet
 
ネットワークとパスワードへの攻撃:
attack_network, attack_user, crack_0, crack_1, crack_2, crack_3, cracksome, ha, hg, hi, hl, hul, infect, scan_gateways, sendWorm, try_fingerd, try_password, try_rsh, try_sendmail, and waithit
 
カムフラージュ:
checkother, other_sleep, send_message, and xorbuf

第 6 章において、Spafford 氏は、ワームのコードの解析を提供しています。彼は、構造とスタイル、機能の問題、カムフラージュ、特定のコメント、sendmail 攻撃、関連したマシン、移植可能性の考慮事項を検討しています。

最後に補遺は、ワームにあった単語の「ミニ辞書」、ワームが各マシンへと転送させたブートストラップ(ベクター)プログラム、修正された fingerd プログラム、感染を修正するために sendmail に開発され呼び出されたパッチについて提供しています。

8. 参考文献

[1] Allman, E.,
"Sendmail - An Internetwork Mail Router",
University of California, Berkeley, Issued with the BSD UNIX documentation set, 1983年.
 
[2] Postel, J.,
"Simple Mail Transfer Protocol",
RFC 821, USC/Information Sciences Institute, 1982年 8月.
 
[3] Harrenstien, K.,
"NAME/FINGER",
RFC 742, SRI, 1977年12月.
 
[4] Internet Activities Board,
「倫理とインターネット(Ethics and the Internet)」,
RFC 1087, IAB, 1989年 1月.
Also appears in the Communications of the ACM, Vol. 32, No. 6, Pg. 710, 1989年 6月.
 
[5] National Science Foundation,
"NSF Poses Code of Networking Ethics",
Communications of the ACM, Vol. 32, No. 6, Pg. 688, 1989年 6月.
Also appears in the minutes of the regular meeting of the Division Advisory Panel for Networking and Communications Research and Infrastructure, Dave Farber, Chair, 1988年11月29日-30日.
 
[6] Massachusetts Institute of Technology,
"Teaching Students About Responsible Use of Computers",
MIT, 1985年-1986年.
Also reprinted in the Communications of the ACM, Vol. 32, No. 6, Pg. 704, Athena Project, MIT, 1989年 6月.
 
[7] Computer Professionals for Social Responsibility,
"CPSR Statement on the Computer Virus",
CPSR, Communications of the ACM, Vol. 32, No. 6, Pg. 699, 1989年 6月.
 
[8] Eisenberg, T., D. Gries, J. Hartmanis, D. Holcomb, M. Lynn, and T. Santoro,
"The Computer Worm",
Cornell University, 1989年 2月 6日.
 
[9] Eichin, M., and J. Rochlis,
"With Microscope and Tweezers: An Analysis of the Internet Virus of November 1988",
Massachusetts Institute of Technology, 1989年 2月.
 
[10] Seeley, D.,
"A Tour of the Worm",
Proceedings of 1989 Winter USENIX Conference, Usenix Association, San Diego, CA, 1989年 2月.
 
[11] Spafford, E.,
"The Internet Worm Program: An Analysis",
Computer Communication Review, Vol. 19, No. 1, ACM SIGCOM, 1989年 1月.
Also issued as Purdue CS Technical Report CSD-TR-823, 1988年11月28日.
 
[12] DCA DDN Defense Communications System,
"DDN Security Bulletin 03",
DDN Security Coordination Center, 1989年10月17日.

9. 関連文献

Alexander, M., "A Year Later, Internet Still Under Attack", Computerworld, Vol. 23, No. 45, Pg. 1, 6 November 1989.

Alexander, M., "It's Ba-a-ack: 'No Nukes Worm' Haunts Internet", Vol. 23, No. 45, Pg. 6, 6 November 1989.

Aucoin, R., "Computer Viruses: Checklist for Recovery", Computers in Libraries, Vol. 9, No. 2, Pg. 4, 1 February 1989.

Aviation Week & Space Technology, "Rapid Spread of Virus Confirms Fears About Danger to Computers", Aviation Week & Space Technology, Vol. 129, No. 20, Pg. 44, 14 November 1988.

Barnes, J., "Drawing the Lines: Changes in Computer Technology and Law Guarantee that Resdistricting in ther 1990s will be Different and a More Difficult Game", National Journal, Vol. 21, No. 13, Pg. 787, 1 April 1989.

Bellovin, S., "Security Problems in the TCP/IP Protocol Suite", Computer Communication Review, Vol. 19, No. 2, Pg. 32, 1 April 1989.

Bellovin, S., "The Worm and the Debug Option", Forum Risks to the Publics in Computer and Related Systems, Vol. 7, No. 74, ACM Committee on Computers and Public Policy, 10 November 1988.

Bender, D., "Computer Law: Evidence and Procedure", (Kept up to date with supplements.), M. Bender, New York, NY, 1978-present.

Bidgoli, H., and R. Azarmsa, "Computer Security: New Managerial Concern for the 1990's and Beyond", Journal of Systems Management, Vol. 40, No. 10, Pg. 21, 1 October 1989.

Bloombecker, J., "Short-Circuiting Computer Crime", Datamation, Vol. 35, No. 19, Pg. 71, 1 October 1989.

Bloombecker, J., and J. Buck, "Computer Ethics for Cynics", Computers and Society, Vol. 18, No. 3, Pgs. 30-32, ACM Special Interest Group on Computers and Society, New York, NY, July 1988.

Bologna, J. "Computer Insecurities: An Analysis of Recent Surveys on Computer Related Crime and Computer Security", Data Processing & Communications Security, Vol. 12, No. 4, Fall 1988.

Bologna, J. "The One Minute Fraud Auditor", Computers & Security, Vol. 8, No. 1, Pg. 29, 1 February 1989.

Boston Herald, "Computer Whiz Puts Virus in Computers", Pg. 1, Boston Herald, 5 November 1988.

Brand, R., "Attack of the Tiger Teams: Inside America's Computer Security Crisis", Tempus Books, August 1989.

Brenner, A., "LAN Security", LAN Magazine, August 1989.

Brunner, J., "The Shockwave Rider", Harper & Row, 1975.

Burger, R., "Computer Viruses: A High-Tech Disease", 2nd Edition, Abacus, Grand Rapids, Michigan, 1988.

Campbell, B., and C. Jackson, "The Internet Worm : Rethinking the Security Threat", Unisphere, Vol. 9, No. 1, Pgs. 44, 46, 48, April 1989.

Campell, D., "Computer Contagion", Security Management, Vol. 32, No. 10, Pg. 83, 1 October 1988.

Chain Store Age Executive, "Retail Technology: Computer 'Viruses'", Chain Store Age Executive, Vol. 64, No. 12, Pg. 67, 1 December 1989.

Chess, D., "Computer Viruses and Related Threats to Computer and Network Integrity", Computer Networks and ISDN Systems, Vol. 17, No. 2, 1989.

Christiansen, D., "A Matter of Ethics", IEEE Spectrum, Vol. 25, Pg. 15, August 1988.

Cohen, F., "Computational Aspects of Computer Viruses", Computers & Security, Vol. 8, No. 4., Pg. 325, 1 June 1989.

Cohen, F., "Models of Practical Defenses Against Computer Viruses", Computers & Security, Vol. 8, No. 2, Pg. 149, 1 April 1989.

Colyer, J., "Risks of Unchecked Input in C Programs", Forum Risks to the Publics in Computer and Related Systems, Vol. 7, No. 74, ACM Committee on Computers and Public Policy, 10 November 1988.

Commerce Clearing House, "Guide to Computer Law", (Topical Law Reports), Chicago, Ill., 1989.

Communications of the ACM, "Letters", ACM Forum, Vol. 32, No. 6, Pgs. 672-673, June 1989.

Communications of the ACM, "Letters", ACM Forum, Vol. 32, No. 9, Pgs. 1044-1045, September 1989.

Computers & Security, "Random Bits & Bytes", Computers & Security, Vol. 8, No. 3, Pg. 178, 1 May 1989.

Computer Law and Tax Report, "Difficult to Prosecute Virus Authors", Computer Law and Tax Report, Vol. 15, No. 5, Pg. 7, 1 December 1988.

Computer Law and Tax Report, "Virus Bill Introduced", Computer Law and Tax Report, Vol. 15, No. 4, Pg. 13, 1 November 1988.

Computerworld, "MIS Reacts", Pg. 157, 7 November 1988.

Cornell Computer Science Department, "Policy for the Use of the Research Computing Facility", Cornell University, 21 August, 1987.

Data Communications, "Internet Virus Aftermath: Is Tighter Security Coming?", Data Communications, Vol. 17, No. 14, Pg. 52, 1 December 1988.

Dean, P., "Was Science-fiction Novel Germ of a Computer Virus?", Los Angeles Times, San Diego County Edition, Part V, Pgs. 1, 2, & 3, 9 November 1988.

DeBow, Y., "Bankers Review Security Procedures After Virus Attack", Computer Banking, Vol. 6, No. 1, Pg. 8, January 1989.

Defense Data Network, "BSD 4.2 and 4.3 Software Problem Resolution", DDN MGT Bulletin #43, DDN Network Information Center, 3 November 1988.

Demaio, H., "Viruses - A Management Issue", Computers & Security, Vol. 8, No. 5, Pg. 381, 1 August 1989.

Denning, P., "The Science of Computing: The Internet Worm", American Scientist, Vol. 77, No. 2, Pgs. 126-128, March 1989.

Devoy, J., Gilssmann, R., and K. Miklofsky, "Media, File Management Schemes Facilitate WORM Utilization", Computer Technology Review, Vol. 8, No. 13, Fall 1988.

Dewdney, A., "Computer Recreations; Of Worms, Viruses and Core War", Scientific American, March 1989

Discover, "Technology: Communicable Computer Disease", Discover, Vol. 10, No. 1, Pg. 64, 1 January 1989.

El-Baghdadi, M., "The Pivotal Role in Computer Security", Security Management, Vol. 33, No. 7, Pg. 63, 1 July 1989.

Electronic Learning, "Computer Viruses: An Epidemic Real or Imagined?", Electronic Learning, Vol. 8, No. 6, April 1989.

Eloff, J., "Computer Security Policy: Important Issues", Computers & Security, Vol. 7, No. 6, Pg. 559, 1 December 1988.

Ellerbee, L., "And So It Goes", G.P. Putnam's Sons, Berkley Edition, June 1987.

Ellis, A., "Underwriting Update-Computer Viruses: Working Out the Bugs", Best's Review, Vol. 90, No. 1, Pg. 84, 1 May 1989.

Elmer-DeWitt, P., "Invasion of the Data Snatchers! - A 'Virus' Epidemic Strikes TERROR in the Computer World", Time Magazine, Technology Section, Pgs. 62-67, 26 September 1988.

Elmer-DeWitt, P., "The Kid Put Us Out of Action", Time Magazine, Pg. 76, 14 November 1988.

Elmer-DeWitt, P., "You Must Be Punished", Time Magazine, Technology Section, Pg. 66, 26 September 1988.

Fainberg, T., "The Night the Network Failed", New Scientist, Vol. 121, No. 1654, Pg. 38, 4 March 1989.

Fenwick, W., Chair, "Computer Litigation, 1985: Trial Tactics and Techniques", Litigation Course Handbook Series No. 280, Prepared for distribution at the Computer Litigation, 1985: Trial Tactics and Techniques Program, February-March 1985.

Fifield, K., "Smartcards Outsmart Computer Crime", Computers & Security, Vol. 8, No. 3, May 1989.

Fisher, L., "On the Front Lines in Battling Electronic Invader", The New York Times, November 1988.

Fites, P., Johnston, P., and M. Kratz, "The Computer Virus Crisis", Van Nostrand Reinhold, New York, NY., 1989

Forcht, K., Thomas, D., and K. Wigginton, "Computer Crime: Assessing the Lawyer's Perspective", Journal of Business Ethics, Vol. 8, No. 4 April 1989.

Friis, W., "Is Your PC Infected?", ABA Banking Journal, Vol. 81, No. 5, Pg. 49, 1 May 1989.

Gardner, E., Samuels, L., and B. Render, "Computer Security", The Journal of Information Systems Management, Vol. 6, No. 4, Pg. 42, Fall 1989.

Gardner, P., "The Internet Worm : What Was Said and When", Computers & Security, Vol. 8, No. 4, June 1989.

Gemignani, M., "Viruses and Criminal Law", Communications of the ACM, Vol. 32, No. 6, Pgs. 669-671, June 1989.

Gerlth, J., "Intruders Into Computer Systems Still Hard to Prosecute", The New York Times, 5 November 1988.

Gerrold, D., "When Harlie Was One", Ballentine Books, 1st Edition, 1972.

Gleissner, W., "A Mathematical Theory for the Spread of Computer Viruses", Computers & Security, Vol. 8, No. 1, Pg. 35, 1 February 1989.

Greenberg, R., "Know thy Viral Enemy: It's More Important Than Ever to Guard Your Data and Your System Against Infection by Computer Viruses", Byte, Vol. 14, No. 6, Pg. 275, 1 June 1989.

Greenia, M., "Computer Security Information Sourcebook", Lexikon Services, Sacramento, CA, 1989.

Harvard College, "Misuse of Computer Systems", Handbook for Students", Pg. 85, Harvard College, 1987-1988.

Hawkins, C., "What Users Should Know About Computer Viruses", Telecommunications, North American Edition, Vol. 23, No. 7, 1 July 1989.

Herrick, G., "Computer Viruses: Prevention is Better than Cure", The Accountant's Magazine, Vol. 93, No. 992, Pg. 24, 1 March 1989.

Hertzoff, I., "Layer Your LAN", Security Management, Vol. 33, No. 9, Pg. 201, 1 September 1989.

Highland, H., "Reports from the Victims", Computers & Security, Vol. 8, No. 2, Pg. 101, 1 April 1989.

Hispanic Business, "Consumer Showcase: Bits & Bytes: From Thunderstorms to Disgruntled Employees to Computer Viruses, a Data System's Vulnerability is Often Overlooked until Disaster Strikes", Hispanic Business, Vol. 11, No. 8, Pg. 36, 1 August 1989.

Hoffer, J., and D. Straub, "The 9 to 5 Underground: Are You Policing Computer Crimes?", Sloan Management Review, Vol. 30, No. 4, Pg. 35, Summer 1989.

Hoffman, L., "Risk Analysis and Computer Security: Towards a Theory at Last", Computers & Security, Vol. 8, No. 1, Pg 23, 1 February 1989.

Hospitals, "Information Management: Electronic Computer Viruses are not Running Rampant in Hospital Information Systems, but Health Care Executives are Entirely Too Lax About Computer System Security", Vol. 63, No. 11, Pg. 64, 5 June 1989.

Huband, F., and R. Shelton, Editors, "Protection of Computer Systems and Software: New Approaches for Combating Theft of Software and Unauthorized Intrusion", Papers presented at a workshop sponsored by the National Science Foundation, 1986.

Hughes, W., "The Computer Fraud and Abuse Act of 1986, Congressional Record (30 April 1986)", Washington, D.C., 30 April 1986.

Industry Week, "Computer Flu Is After You", Industry Week, Vol. 238, No. 2, Pg. 39, 16 January 1989.

Information Executive, "Promoting Computer Ethics: The Next Generation", Information Executive, Vol., 2, No. 4, Pg. 42, Fall 1989.

Information Hotline, "Plan to Combat Computer Viruses", Vol. 21, No. 8, Pg. 10, 1 October 1989.

Jamieson, R., and L. Graham, "Security and Control Issues in Local Area Network Design, Computers & Security, Vol. 8, No. 4, Pg. 305, 1 June 1989.

Jander, M., "The Naked Network", Computer Decisions, Vol. 21, No. 4, Pg. 39, 1 April 1989.

Joyce, E., "Time Bomb: Inside The Texas Virus Trial", Computer Decisions, Vol. 20, No. 12, Pg. 38, 1 December 1988.

Keenan, T., "Emerging Vulnerabilities in Office Automation Security", Computers & Security, Vol. 8, No. 3, Pg. 223, 1 May 1989.

Kellam-Scott, B., "Profile: Bellcore Computer and Network Security Symposium", Bellcore Exchange, Vol. 5, No. 1, Pg. 24, 1 January 1989.

King, K., "Overreaction to External Attacks on Computer Systems Could be More Harmful Than the Viruses Themselves", Chronicle of Higher Education, Pg. A36, 23 November 1988. Also in: Educom Bulletin, Vol. 23, No. 4, Pg. 5, Winter 1988

Kluepfel, H., "Computer Use and Abuse: Computer Systems and Their Data are Vulnerable to Error, Omission, and Abuse", Security Management, Vol. 33, No. 2, Pg. 72, 1 February 1989.

Kocher, B., "A Hygiene Lesson", Communications of the ACM, Vol. 32, No. 6, Pg. 3, January 1989.

Kosko, J., "Computer Security Experts Advise Steps to Reduce the Risk of Virus Attacks", Virus Discussion List, 22 September 1989.

Kruys, J., "Security of Open Systems", Computers & Security, Vol. 8, No. 2, Pg. 139, 1 April 1989.

Lapsley, P., "'We are Under Attack. . .' (The Internet 'Worm': a Chronology)", UNIX Review, Vol. 7, No. 1, Pgs. 69-70, 72-73, January 1989.

Lerner, E., "Computer Virus Threatens to Become Epidemic", Aerospace America, Vol. 27, No. 2, Pg. 14, 1 February 1989.

Lewyn, M., and D. Carroll, "'Scary' Virus Clogs Top Computers", USA Today, Section A, Col. 2, Pg. 1, 4 November 1988.

Lim, B., "Protection of Computer Programs Under the Computer Program Protection Law of the Republic of Korea", Harvard International Law Journal, Vol. 30, No. 1, Pg. 171, Winter 1989.

Lu, W., and M. Sundareshan, "Secure Communication in Internet Environments: A Hierachical Key Management Scheme for End-to-End Encryption", IEEE Transactions on Communications, Vol. 37, No. 10, Pg. 1014, 1 October 1989.

Lunt, T., "Access Control Policies: Some Unanswered Questions", Computers & Security, Vol. 8, No. 1, Pg. 43, 1 February 1989.

Lynn, M., "Ethical Responsibility Key to Computer Security", The Educational Record, Vol. 70, No. 2, Pg. 36, Spring 1989.

Machalow, R., "Security for Lotus Files", Computers in Libraries, Vol. 9, No. 2, Pg. 19, 1 February 1989.

Maher, J., and J. Hicks, "Computer Viruses: Controller's Nightmare", Management Accounting, Vol. 71, No. 4, Pg. 44, 1 October 1989.

Markoff, J., "Author of Computer 'Virus' is Son of U.S. Electronic Security Expert", Pgs. A1, A7, The New York Times, 5 November 1988.

Markoff, J., "Computer Experts Say Virus Carried No Hidden Dangers", The New York Times, 9 November 1988.

Markoff, J., "Computer Snarl: A 'Back Door' Ajar", Pg. B10, The New York Times, 7 November 1988.

Markoff, J., "Learning to Love the Computer Whiz", The New York Times, 8 November 1988.

Markoff, J., "The Computer Jam: How It Came About", The New York Times, 9 November 1988.

Markoff, J., "U.S. is Moving to Restrict Access to Facts About Computer Virus", Pg. A28, The New York Times, 11 November 1988.

Markoff, J., "'Virus' in Military Computers Disrupts Systems Nationwide", The New York Times, 4 November 1988.

Marshall, E., "The Worm's Aftermath", Science, Vol. 242, Pg. 1121, 25 November 1988.

Martin, M., and R. Schinzinger, "Ethics in Engineering", McGraw Hill, 2nd Edition, 1989.

Martin, N., "Revenge of the Nerds", The Washington Monthly, Vol. 20, No. 12, Pg. 21, 1 January 1989.

McAfee, J., "The Virus Cure", Datamation, Vol. 35, No. 4, Pg. 29, 15 February 1989.

McEwen, J., "Dedicated Computer Crime Units", Report Contributors: D. Fester and H. Nugent, Prepared for the National Institute of Justice, U.S. Department of Justice, by Institute for Law and Justice, Inc. under contract number OJP-85-C-006, Washington, D.C., 1989.

Menkus, B., "It's Time to Rethink Data Processing Fire Protection", Computers & Security, Vol. 8, No. 5, Pg. 389, 1 August 1989.

Menkus, B., "The Computer Virus Situation is not Encouraging", Computers & Security, Vol. 8, No. 2, Pg. 115, 1 April 1989.

Menkus, B., "The Employee's Role in Protecting Information Assets", Computers & Security, Vol. 8, No. 6, Pg. 487, 1 October 1989.

Menkus, B., "Understanding Password Compromise", Computers & Security, Vol. 7, No. 6, Pg. 549, 1 December 1989.

Menkus, B., "U.S. Government Agencies Belatedly Address Information System Security Issues", Computers & Security, Vol. 7, No. 4, Pg. 361, 1 August 1988.

Meredith, D., "Cornell Panel Concludes Morris Responsible for Computer Worm", Cornell Chronicle, April 1989.

Miller, Jr., K., "Computer Viruses", Business and Economic Review, Vol. 35, No. 4, Pg. 36, 1 June 1989.

Mizock, M., "Ethics--The Guiding Light of Professionalism", Data Management, Vol. 24, No. 8, August 1986.

Modern Railroads, "How to Outwit Computer 'Hackers'", Modern Railroads, Vol. 44, No. 3, Pg. 40, 1 February 1989.

Moir, D., "Maintaining System Security", Dr. Dobb's Journal of Software Tools for the Pro, Vol. 14, No. 6, Pg. 75, 1 June 1989.

Munro, N., "Big Guns Take Aim at Virus", Government Computer News, Vol. 7, No. 24, Pgs. 1, 100, November 1988.

National Computer Security Center, "Proceedings of the Virus Post- Mortem Meeting", NCSC, St. George Meade, MD, 8 November 1988.

National Institute of Standards and Technology, "Computer Viruses and Related Threats: A Management Guide", NIST Special Publication 500- 166, August 1989.

Neumann, P., Editor, "Forum of Risks to the Public in Computers and Related Systems", Vol. 7, No. 69, ACM Committee on Computers and Public Policy, 3 November 1988.

Newhouse News Service, "Congressmen Plan Hearings on Virus", The Seattle Times, Pg. B2, 27 November 1988.

NSF Network Service Center (NNSC), "Internet Computer Virus Update", NSFNET, Cambridge, MA, 4 November 1988.

Ostapik, F., "The Effect of The Internet Worm on Network and Computer Security", Connextions, Vol. 3, No. 9, Pgs. 16-17, September 1989.

Ostrow, R., and T. Maugh II, "Legal Doubts Rise in Computer Virus Case", Los Angeles Times, Part I, Col. 1, Pg. 4, 9 November 1988.

Page, B., "A Report on The Internet Worm", University of Lowell, Computer Science Department, 7 November 1988.

Palmore, T., "Computer Bytes: Viruses and Vaccines", TechTrends, Vol. 34, No. 2, Pg. 26, 1 March 1989.

Parker, D., "Fighting Computer Crime", Scribner, New York, 1983.

PC Week, "'Worm' Attacks National Network", Pg. 8, 7 November 1988.

Perry, W., "Why Software Defects So Often Go Undiscovered", Government Computer News, Vol. 7, No. 24, Pg. 85, 21 November 1988.

Peterson, I., "Worming into a Computer's Vulnerable Core", Science News, Volume #134, 12 November 1988.

Phelps, E., "Bug Bytes", Security Management, Vol. 33, No. 9, Pg. 85, 1 September 1989.

Presstime, "Contagious Communication", Presstime, Vol. 11, No. 3, March 1989.

Radai, Y., "The Israeli PC Virus", Computers & Security, Vol. 8, No. 2, Pg. 111, 1 April 1989.

Reese, L., "Of MICE and Men", Security Management, Vol. 33, No. 9, Pg. 89, 1 September 1989.

Resource Management, "Computer Viruses: Background and Recommendations for Keeping Software Healthy are Detailed", Resource Management, Pg. 8, 1 July 1989.

Richards, T., and R. Knotts, "Top Management's View of Computer Related Fraud", Sig Security, Audit & Control Review, Vol. 6, No. 4, Pg. 34, Winter 1989.

Rivera, A., "Computer Viruses: A Different Perspective", Data Processing & Communications Security, Vol. 13, No. 1, Winter 1989.

Rowe, J., Shelton, C., and M. Krohn, "Avoiding Computer Viruses", Business Education Forum, Vol. 44, No. 2, Pg. 17, 1 November 1989.

Royko, M., "Here's How to Stop Computer Vandals", Chicago Tribune, 6 November 1988.

Rubin, H., and A. Paliotta, "Perimeter Security for Telecommunication with External Entities", The Internal Auditor, Vol. 46, No. 2, Pg. 40, March-April 1989.

Rubin, M., "Private Rights, Public Wrongs: the Computer and Personal Privacy", Ablex Publishing 1988.

Sampson, K., "Computer Viruses: Not Fads, Not Funny", The Office, Vol. 110. No. 4, Pg. 56, 1 October 1989.

Samuelson, P., "Can Hackers be Sued for Damages Caused by Computer Viruses?", Communications of the ACM, Vol. 32, No. 6, Pgs. 666-669, June 1989.

Schneider, W., "Computer Viruses: What They Are, How They Work, How They Might Get You, and How to Control Them in Academic Institutions", Behavior Research Methods, Instruments, & Computers, Vol. 21, No. 2, Pg. 334, 1 April 1989.

Schultz, J., "Low Cost Security Solutions for Personal Computers", Signal, Vol. 44, No. 3, Pg. 71, 1 November 1989.

Schweitzer, J., "Protecting Information on Local Area Networks", Butterworths, Boston, 1988.

Seeley, D., "Password Cracking: A Game of Wits", Communications of the ACM, Vol. 32, No. 6, Pgs. 700-703, June 1989.

Shadabuddin, S., "Computer Security Problems and Control Techniques", American Business Review, Vol. 7, No., 1, Pg. 14, 1 January 1989.

Shaw, E., Jr., "Computer Fraud and Abuse Act of 1986, Congressional Record (3 June 1986), Washington, D.C., 3 June 1986.

Sheiman, D., "Legal Affairs: Coming Soon...To A Personal Computer Near You", The Amicus Journal, Vol. 11, No. 3, Pg. 38, Summer 1989.

Siegel, L. and J. Markoff, "The High Cost of High Tech, the Dark Side of the Chip", Harper & Row, New York, 1985.

Sims, C., "Researchers Fear Computer 'Virus' Will Slow Use of National Network", The New York Times, 14 November 1988.

Sitomer, C., "Crooks Find Computers Useful: Terrorists See Vulnerable Targets", The Christian Science Monitor, Vol. 79, No. 8, Sec. A, Pg. 6, December 1986.

Slayden, P. II, "Computer Flu Blues: Computer Managers Must be Ready to Provide Vaccines Against Infectious Computer Viruses", Security Management, Vol. 33, No. 8, Pg. 108, 1 August 1989.

Spafford, E., "Some Musing on Ethics and Computer Break-Ins", Proceedings of the Winter USENIX Conference, USENIX Association, San Diego, CA, February 1989.

Spafford, E., "The Internet Worm: Crisis and Aftermath", Communications of the ACM, Vol. 32, No. 6, Pgs. 689-698, June 1989.

Spafford, G., "A Cure!!!!!", Forum Risks to the Publics in Computer and Related Systems, Vol. 7, No. 70, ACM Committee on Computers and Public Policy, 3 November 1988.

Spafford, G., "A Worm 'condom'", Forum Risks to the Publics in Computer and Related Systems, Vol. 7, No. 70, ACM Committee on Computers and Public Policy, 3 November 1988.

State of Wisconsin, "Computer Law - State of Wisconsin Statute", Chapter 293, Laws of 1981, Section 943.70, Computer Crimes.

Steinberg, T., "Developing a Computer Security Charter", Sig Security, Audit & Control Review, Vol. 6, No. 4, Pg. 12, Winter 1989.

Stipp, D., and B. Davis, "New Computer Break-Ins Suggest 'Virus' May Have Spurred Hackers", The Wall Street Journal, 2 December 1988.

Stoll, C., "How Secure are Computers in the U.S.A.?", Computers & Security, Vol. 7, No. 6, Pg. 543, 1 December 1988.

Stoll, C., "Stalking the Wily Hacker", Communications of the ACM, Vol. 31, No. 5, Pgs. 484-497, ACM, New York, NY, May 1988.

Stoll, C., "The Cuckoo's Egg", ISBN 00385-24946-2, Doubleday, 1989.

Stuller, J., "Computer Cops and Robbers", Across the Board, Vol. 26, No. 6, June 1989.

Tester, D., "The Key to Data Security", Security Management, Vol. 33, No., 9, Pg. 206, 1 September 1989.

The Accountant, "Computer Viruses", No. 5829, Pg. 25, 1 September 1989.

The Economist, "Halting Computer Hackers", The Economist, Vol. 313, No. 7626, Pg. 18, 28 October 1989.

The Engineer, "Computer Security, Moves to Outlaw Computer Hackers are being Complicated by Computer Viruses", The Engineer, Vol. 268, No. 6935, 23 February 1989.

The Engineer, "Disk Diseases", The Engineer, Vol. 267, No. 6921, Pg. 28, 17 November 1988.

The New York Times, "Forgetfulness and the 'Virus'", The New York Times, 7 November 1988.

The New York Times, "Letter Bomb of the Computer Age", The New York Times, 5 November 1988.

The Wall Street Journal, "Spreading a Virus", A Wall Street Journal News Roundup, 7 November 1988.

Time Magazine, Letters Section, "Poison Program", Pg. 6, 5 December 1988.

Tinto, M., "Computer Viruses: Prevention, Detection, and Treatment", National Computer Security Center C1 Technical Report C1-001-89, June 1989.

Trible, P., "The Computer Fraud and Abuse Act of 1986", U.S. Senate Committee on the Judiciary, 1986.

United States, "Computer Fraud and Abuse Act of 1986, An Act to Amend Title 18, United States Code, to Provide Additional Penalties for Fraud and Related Activities in Connection with Access Devices and Computers, and for Other Purposes", Washington, D.C., G.P.O., Distributor, 1986.

United States Congress House Committee on Science, Space, and Technology, Subcommittee on Transportation, Aviation, and Materials, "Implementation of the Computer Security Act: Hearing Before the Subcommittee on Transportation, Aviation, and Materials of the Committee on Science, Space, and Technology", U.S. House of Representatives, One Hundredth Congress, Second Session, Washington, D.C., 22 September 1988.

United States Congress House Committee on Science, Space, and Technology, Subcommittee on Transportation, Aviation, and Materials, "Implementation of the Computer Security Act: Hearing Before the Subcommittee on Transportation, Aviation, and Materials and the Subcommittee on Science, Research, and Technology of the Committee on Science, Space, and Technology", U.S. House of Representatives, One Hundred First Congress, First Session, Washington, D.C., 21 March 1989.

United States Congress Senate Committee on the Judiciary, "The Computer Fraud and Abuse Act of 1986, Hearing before the Committee on the Judiciary", United States Senate, Ninety-ninth Congress, Second Session, Washington, D.C., 16 April 1986.

United States Congress Senate Committee on the Judiciary, "The Computer Fraud and Abuse Act of 1986, Report (to accompany H.R. 4712)", Washington, D.C., 22 May 1986.

United States Congress Senate Committee on the Judiciary, "The Computer Fraud and Abuse Act of 1986, Report Together with Additional Views", Ninety-ninth Congress, Second Session, Washington, D.C., 3 September 1986.

United States General Accounting Office, "Computer Security", GAO/IMTEC-89-57, June 1989.

United States of America, "Computer Security Act of 1987", G.P.O. Distributor, Washington D.C., 1988.

UNIX Today!, "Uncle Sam's Anti-Virus Corps", UNIX Today!, Pg. 10, 23 January 1989.

Vance, M., "Computer Crime", Vance Bibliographies, Monticello, Ill., February 1988.

Vasilyev, D., and Y. Novikov, "Technology: Computer Viruses", Soviet Life, No. 394, Pg. 37, 1 July 1989.

Wasik, M., "Law Reform Proposals on Computer Misuse", The Crimminal Law Review, Pg. 257, 1 April 1989.

White, C. Jr., "Viruses and Worms: A Campus Under Attack", Computers & Security, Vol. 8, No. 4, Pg. 283, 1 June 1989.

White, S., and D. Chess, "Coping with Computer Viruses and Related Problems", IBM Research Report RC 14405 (#64367), January 1989.

Wines, M., "A Family's Passion for Computers, Gone Sour", Pg. 1, The New York Times, 11 November 1988.

Wines, M., "'Virus' Eliminated, Defense Aides Say", The New York Times, 5 November 1988.

Winter, C.," Virus Infects Huge Computer Network", Chicago Tribune, Section I, Col. 2, Pg. 1, 4 November 1988.

Wiseman, S., "Preventing Viruses in Computer Systems", Computers and Security, Vol. 8, No. 5, Pg. 427, 1 August 1989.

Wood, C., "Planning: A Means to Achieve Data Communications Security", Computers & Security, Vol. 8, No. 3, Pg. 189, 1 May 1989.

Yovel, S., "Conquering Computer Viruses", Security Management, Vol. 33, No. 2, Pg. 64, 1 February 1989.

Zajac, B., "Disaster Recovery - Are You Really Ready?", Computers & Security, Vol. 8, No. 4, Pg. 297, 1 June 1989.

Zajac, B., "Legal Options to Computer Viruses", Computers & Security, Vol. 8, No. 1, Pg. 25, 1 February 1989.

Zajac, B., "Viruses: Should We Quit Talking About Them", Computers & Security, Vol. 7, No. 5, Pg. 471, 1 October 1989.

10. セキュリティについての考慮事項

セキュリティに関する考慮事項がこれほどにまで広く無視されていなかったら、このメモは存在しなかったことでしょう。

 

著者のアドレス

Joyce K. Reynolds
University of Southern California
Information Sciences Institute
4676 Admiralty Way
Marina del Rey, CA 90292

電話: (213) 822-1511

EMail: JKREY@ISI.EDU

翻訳者のアドレス

宮川 寧夫
情報処理振興事業協会
セキュリティセンター

EMail: miyakawa@ipa.go.jp


Copyright (C) The Internet Society (1989). All Rights Reserved.