【セキュリティ】
~韓国では一時インターネット機能が麻痺状態に
Microsoft SQL Server 2000の脆弱性を利用したウイルスが発生
■URL
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/virus/sqlslam.asp
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.sqlexp.worm.html
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SQLP1434.A
http://www.ipa.go.jp/security/ciadr/vul/20030126ms-sql-worm.html
http://www.microsoft.com/japan/sql/downloads/2000/sp3.asp
http://www.jpcert.or.jp/at/2003/at030001.txt
|
Slammerの注意点や対策などを提供するマイクロソフトのサイト
|
マイクロソフトやIPA、シマンテック、トレンドマイクロなど各社は、「Microsoft SQL Server 2000(以下、SQL Server)」の脆弱性を利用して1434/UDPポートに繰り返し攻撃を行なうウイルス「W32/SQLSlammer(以下、SQLSlammer)」を警告し、早急に対策するよう促している。
SQLSlammerは、SQL Serverの脆弱性「SQL Server 2000 解決サービスのバッファのオーバーランにより、コードが実行される(MS02-039)」を利用して、感染を広げるワーム型ウイルスだ。対象は、「Microsoft SQL Server 2000」と「Microsoft Desktop Engine (MSDE) 2000」のSP2までとなっており、いずれもSP3か修正パッチを適用することで対策が可能となっている。
通常、SQL Serverはクライアントマシンに導入されることはないが、MSDEはアプリケーションの組込みデータベースとして、クライアントマシンにインストールされている場合もあるので、クライアントマシンにおいても確認が必要だ。
感染すると、ランダムなIPアドレスの1434番ポート宛に、自分自身をUDPパケットとして連続して送信(無限ループ状態)する。この際にパケットを大量送信するので、トラフィックが急増し、システムがダウンする可能性もある。従って感染すると、自分が攻撃者になる可能性が高いので、警戒しなければならない。
SQLSlammerの特徴は、1434/UDPポート(SQL Serverが解決サービスで使用するポート) から侵入し、SQL Serverのプロセス内でプログラムコードが実行されて感染を広げる点だ。SQL Serverのメモリ上で活動しファイル感染等を行なわないため、通常のウイルス対策ソフトによるファイル単位でのウイルススキャンでは発見できない。また、376バイトとプログラムコードのサイズが非常に小さいことや、セッションレスなUDPプロトコルを利用しているなど、高い感染力を持っている。
対策としては、「ルーターやファイアウォール等で信頼できない場所からの1434/UDPポートに対するパケットを遮断する」、「SQL Server 2000 SP3か修正パッチを適用する」、「ウイルス対策ベンダー各社から提供されている検知ツールを利用する」を行なう必要がある。
韓国情報通信省によると、1月25日14時頃からインターネット接続において遅延が発生し、一部インターネットサイトの閲覧ができない状態になっていたという。この現象は、韓国、米国、日本でそれぞれ対策を行なったことにより、25日23時頃には概ね復旧し、26日朝にはほぼ通常状態に復帰したとのこと。しかし、JPCERT/CCでは1434/UDPポートへのスキャンが増加しているとして、注意を促している。
◎関連記事
■マイクロソフト、セキュリティを強化した「MS SQL Server 2000 SP3 日本語版」
(2003/1/27)
[Reported by otsu-j@impress.co.jp]
|