最新ニュース

日本の「リネージュ」ユーザーは集団活動が好き~東大池田教授が実態分析

ゴメス、2003年夏期の国内・海外旅行サイトのランキングを発表

UIS、永井豪などが登場する「コミックス・アニメ祭」を開始

インターネット接続利用者数、ブロードバンド加入者が1,100万人に近づく

1週間メールのない生活は「離婚よりストレス」~Veritas調査

OCN、Web上でホームページを作れる「ホームページ簡単キット」

NTT西日本、ブロードバンド回線を活用したVPNサービス提供開始

テックジャム、9,500円の検索キーワード解析ツール

オンライン音楽市場はまだ成長の余地あり~米Jupiter調査

BIGLOBE、直販サイトを集約した「BIGLOBE STORE」を開設

テレマン、31の離島で衛星ネットを活用した常時接続環境の整備構想

感染するとIEのパフォーマンスが低下するウイルス「Bingd」

CRLの研究施設公開イベントで、今年も“無線LANラジコン”が登場

米ISS、WindowsのRPCに関する脆弱性の有無をチェックできるツール

InfoSphereに@FreeD対応の固定IP付与サービス

総務省、電波再配分の給付金算定に関する報告書を公開

情報通信審議会、携帯技術やアニメ・ゲームを活かす「日本型新IT社会」提言

ITXと有線ブロード、企業向け光ブロードバンド事業で合弁会社設

NRIら、実証実験に基づいた無線LANの設計・運用サービス

IE用の国際化ドメイン名プラグイン「i-Nav」がRFCに準拠

OCNでアクセス集中によるDNS障害が発生。現在は復旧

ソフトバンクBB、必要な機能だけを追加利用できるセキュリティサービス

日本気象協会、患者が急増している熱中症の予防情報サイトを開設

日本語ドメイン名の普及に、残る課題はアプリケーションの対応~JPRS取締役

損保ジャパン、ネット上でリアルタイムに事故対応状況を照会できるサービス

シマンテック、感染するとうるさいウイルス「Lorsis」を警告

Web上のグラフィック技術「X3D」が国際規格へと一歩前進

著名なダウンロードサイト「Download.com」が殿堂入りソフトを4本発表

ノルウェーTelenor、航空機向けに衛星経由のパケットデータサービス

【連載】検索エンジンの裏側 第10回 Yahoo!のOverture買収で浮上した3つの疑問

【リンク集】

ウイルス「Slammer」リンク集

日本ネットワークアソシエイツ提供の「Snifferマトリクスビュー」

 25日未明より大流行したワーム型のウイルス「Slammer」(各種の名称があるが、ここではSlammerに統一)により、韓国では一時インターネット接続が難しい状態となった。日本では比較的被害が少ないものの、1434/UDPポートへのスキャンが確認されているので、対策を行なっていない場合は早急に対応が必要だ。ここでは、「Slammer」関連の情報を扱ったサイトを紹介する。

ウイルス対策ベンダー編


 まず「Slammer」の特徴や行動解析に役立つ情報を提供するウイルス対策ベンダー各社のWebサイトを紹介する。なお、各社が提供する対策(駆除)ツールは後述のコーナーでまとめて紹介する。

■シマンテック:「W32.SQLExp.Worm」
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.sqlexp.worm.html

 シマンテックでは、トップページで概要を説明し、このページで詳細情報を公開している。同社では対策として、マイクロソフトが公開済みのセキュリティパッチを適用することや、1434/UDPポートを遮断するように推奨している。

■トレンドマイクロ:「WORM_SQLP1434.A」
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SQLP1434.A

 トレンドマイクロでも、トップページにてウイルス「Slammer」をレッドアラートとして警告。専用ページでは、特徴を赤文字で表示して緊急性を表している。ただし、通常のウイルススキャンでは発見できないために、Slammerに関する感染被害状況は報告されていない。

■日本ネットワークアソシエイツ:「W32/SQLSlammer.worm」
http://www.nai.com/japan/virusinfo/virS.asp?v=W32/SQLSlammer.worm
http://www.nai.com/japan/virusinfo/viruscartoon.asp?ViruGazoMokujiNo=8

 日本ネットワークアソシエイツでは、Slammerを危険度「高」と設定し、注目度の高さから緊急的に同社トップページを簡略化してアクセス時間を短縮できるようにしている。同社の特徴は、絵を用いてグラフィカルに分かりやすく説明した「ウイルス絵とき理解」や、ストリーミングで「W32/SQLSlammer.worm 緊急対策インターネット セミナー」を実施する点だ。

■ソフォス:「W32/SQLSlam-A」
http://www.sophos.co.jp/virusinfo/analyses/w32sqlslama.html
http://www.sophos.co.jp/virusinfo/articles/slammerq.html (FAQ)

 ソフォスでは、詳細ページのほかにFAQページを設けている。「ウイルス対策ソフトは、W32/SQLSlam-A がメモリに常駐することを防げないのか?」や「W32/SQLSlam-A の除去方法は?」などのFAQが掲載されている。

■アンラボ:「SQL_Overflow」
http://www.ahnlab.co.jp/news/view.asp?seq=206&pageNo=1&news_gu=01
http://www.ahnlab.co.jp/news/view.asp?seq=214&pageNo=1&news_gu=01

 韓国のウイルス対策ベンダーであるアンラボもいち早く対策ツールを提供するなど、さまざまな情報を提供している。詳細情報ページでは、今回韓国で大量発生した原因は「セキュリティ対策不足」と結論している。

■F-Secure:「Slammer」
http://www.f-secure.co.jp/v-descs/v-descs3/slammer.htm

 F-Secureでは、Slammerによる「パケットロス発生率」に関するグラフを掲載している。このグラフによると、25日から急激にパケットロス率が上昇し、通常0%付近なのが一気に20%近くにまで上昇していることが分かる。

マイクロソフト編


 Slammerの対象となる「Microsoft SQL Server 2000」を提供しているマイクロソフトは、緊急対策ページを開設してセキュリティパッチの導入や、サービスパックの適用を呼びかけている。

■専門ページ
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/virus/sqlslam.asp

 マイクロソフトでは、Slammer専門ページを開設。「どのような環境下でSlammerに感染するのか」や、「影響を受ける恐れのある製品」などの情報や対策方法、FAQなどを公開している。同社は、2002年7月に既に今回問題となっている脆弱性のセキュリティパッチを提供しているので、未対応の場合は早急に導入する必要がある。

■「Microsoft SQL Server 2000 SP3」
http://www.microsoft.com/japan/sql/downloads/2000/sp3.asp

 「Slammer」対策として、マイクロソフトが最も推奨しているのはリリースされたばかりのSQL Server 2000用のService Pack 3(SP3)を適用することだ。SP3には、SP1やSP2を含む、SQL Server 2000リリース以後の修正プログラムや追加機能が含まれている。

■MS02-061
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms02-061.asp

 SP3を導入できない場合には、今回Slammerに利用されている脆弱性を修正するために、この「MS02-061」パッチを導入しなければならない。この「MS02-061」には、今回問題となった「MS02-039」も含まれている。なお、「MS02-061」や「MS02-039」を適用するためには、SP2が適用済みでなければならない。

■MS02-039
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms02-039.asp

 なんらかの問題で「MS02-061」も導入できない場合は、最低限「MS02-039」を導入しなければならない。このパッチを当てていない状態ではSlammerが利用する脆弱性を防いでいないため、ルータ等で1434/UDPポートを塞いだとしても根本的な解決には至らない。

駆除ツール編


 ここでは、感染の疑いがある場合に検査を行なうツールや、駆除を行なうツールを提供する。基本的には、マイクロソフトのセキュリティパッチを導入して再起動すれば、サーバーのメモリー上からSlammerを消すことができる。

■シマンテック
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.sqlexp.worm.removal.tool.html

 このツールでは、レジストリーやハードディスク上のチェックを行なった後に、パッチを導入していない場合には、導入を促すメッセージを表示する機能を持っている。

■トレンドマイクロ:トレンドマイクロ システム クリーナVer.3.0(TSC)
http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=4700

 「トレンドマイクロ システム クリーナVer.3.0」は、ウイルスによって改変されたWindowsシステムを修復するツールで、今回Slammerにも対応した。メモリー上にあるSlammerのプログラムを検索し、発見した際には駆除を行ない、SQL Serverを再起動することによってSlammerの除去を行なう。

■日本ネットワークアソシエイツ:Stinger
http://www.nai.com/japan/virusinfo/Stinger.asp

 日本ネットワークアソシエイツが提供するシステム修復ツール「Stinger」も、TSCと同様に今回Slammerに対応した。Stingerでは、SQLプロセスをシャットダウンするので、管理者権限でログインしていないと実行できない点に注意が必要だ。

■アンラボ
http://www.ahnlab.co.jp/news/view.asp?seq=208&pageNo=1&news_gu=01

 アンラボでは、Slammerを検知するツールと今回利用されている脆弱性をチェックするツールを別々に提供している。同社では、まず検知ツールでチェックを行ない、脆弱性チェックでパッチ未導入がわかった場合には、早急にパッチを適用すべきだとしている。

セキュリティ関連


 ウイルス対策ベンダーやマイクロソフト以外にも、セキュリティ関連各社がさまざまな状況を提供している。

■IPA、新種ワーム「MS-SQL ワーム」に関する情報を掲載
http://www.ipa.go.jp/security/ciadr/vul/20030126ms-sql-worm.html

 IPAでも、特設ページを開設して注意を促している。サイトによると、Slammerに関する報告が、1月27日17時時点で3件寄せられているという。対策では、他社と同様に「1434/UDPポート」を塞ぐことや、パッチを導入するよう推奨している。

■CERT/CC
http://www.cert.org/advisories/CA-2003-04.html
http://www.lac.co.jp/security/intelligence/CERT/CA-2003_04.html (日本語版)

 CERT/CCでも、詳細に情報を提供している。ここでは、フィルタリングの方法を出口側と入り口側で別々に紹介している点が特徴だ。

■インターネット セキュリティ システムズ(ISS)
http://www.isskk.co.jp/support/techinfo/general/X-ForceslammerWorm.html

 セキュリティ情報研究チームである米ISSの「X-Force」が発表したアドバイザリーの翻訳を基に情報を提供している。興味深いのは、ISSのドメイン「isskk.co.jp」におけるSlammer検出数で、25日の14時にピークの1,200件が検出されている。

■PASSJ
http://www.sqlpassj.org/info/slammer.aspx

 SQL Serverユーザーグループ「PASSJ」のWebサイト。SQL Serverユーザーグループのサイトなので、SQLの設定方法やパッチ導入時の症状などを詳細に知ることができる。また、メーリングリスト上でも頻繁に情報交換が行なわれている。

■JPCERT/CC
http://www.jpcert.or.jp/at/2003/at030001.txt

 Slammerの情報や対策を簡潔にまとめたサイト。JPCERTの調査によると、26日には減少傾向にあるが、今後も引続き不審なアクセスの監視を継続するように推奨している。また、Slammerに関する情報提供も呼びかけている。

■米Matrix Netsystems
http://www.matrixnetsystems.com/ea/index.jsp

 米MatrixNetsystemsが25日に発表した「Slammerによる全世界のトラフィックに与えた影響」の分析結果を掲載しているサイト。Slammerが大量発生した25日のトラフィック状況を3種類に分類して掲載している。2番目の「パケットロス率」や3番目の「到達率」を見ると、25日0時頃から急激にトラフィックが増大していることが分かる。

◎関連記事
「15分で全世界を制圧するウイルス」論文が現実に
「Slammerウイルスの発信元は米国ISP」?
Microsoft SQL Server 2000の脆弱性を利用したウイルスが発生

(2003/1/28)

[Reported by otsu-j@impress.co.jp]

INTERNET Watchホームページ

INTERNET Watch編集部internet-watch-info@impress.co.jp
Copyright (c) 2003 Impress Corporation All rights reserved.