ウイルス「Slammer」リンク集
|
|
日本ネットワークアソシエイツ提供の「Snifferマトリクスビュー」 |
●ウイルス対策ベンダー編
まず「Slammer」の特徴や行動解析に役立つ情報を提供するウイルス対策ベンダー各社のWebサイトを紹介する。なお、各社が提供する対策(駆除)ツールは後述のコーナーでまとめて紹介する。
■シマンテック:「W32.SQLExp.Worm」
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.sqlexp.worm.html
シマンテックでは、トップページで概要を説明し、このページで詳細情報を公開している。同社では対策として、マイクロソフトが公開済みのセキュリティパッチを適用することや、1434/UDPポートを遮断するように推奨している。
■トレンドマイクロ:「WORM_SQLP1434.A」
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SQLP1434.A
トレンドマイクロでも、トップページにてウイルス「Slammer」をレッドアラートとして警告。専用ページでは、特徴を赤文字で表示して緊急性を表している。ただし、通常のウイルススキャンでは発見できないために、Slammerに関する感染被害状況は報告されていない。
■日本ネットワークアソシエイツ:「W32/SQLSlammer.worm」
http://www.nai.com/japan/virusinfo/virS.asp?v=W32/SQLSlammer.worm
http://www.nai.com/japan/virusinfo/viruscartoon.asp?ViruGazoMokujiNo=8
日本ネットワークアソシエイツでは、Slammerを危険度「高」と設定し、注目度の高さから緊急的に同社トップページを簡略化してアクセス時間を短縮できるようにしている。同社の特徴は、絵を用いてグラフィカルに分かりやすく説明した「ウイルス絵とき理解」や、ストリーミングで「W32/SQLSlammer.worm 緊急対策インターネット セミナー」を実施する点だ。
■ソフォス:「W32/SQLSlam-A」
http://www.sophos.co.jp/virusinfo/analyses/w32sqlslama.html
http://www.sophos.co.jp/virusinfo/articles/slammerq.html
(FAQ)
ソフォスでは、詳細ページのほかにFAQページを設けている。「ウイルス対策ソフトは、W32/SQLSlam-A がメモリに常駐することを防げないのか?」や「W32/SQLSlam-A の除去方法は?」などのFAQが掲載されている。
■アンラボ:「SQL_Overflow」
http://www.ahnlab.co.jp/news/view.asp?seq=206&pageNo=1&news_gu=01
http://www.ahnlab.co.jp/news/view.asp?seq=214&pageNo=1&news_gu=01
韓国のウイルス対策ベンダーであるアンラボもいち早く対策ツールを提供するなど、さまざまな情報を提供している。詳細情報ページでは、今回韓国で大量発生した原因は「セキュリティ対策不足」と結論している。
■F-Secure:「Slammer」
http://www.f-secure.co.jp/v-descs/v-descs3/slammer.htm
F-Secureでは、Slammerによる「パケットロス発生率」に関するグラフを掲載している。このグラフによると、25日から急激にパケットロス率が上昇し、通常0%付近なのが一気に20%近くにまで上昇していることが分かる。
●マイクロソフト編
Slammerの対象となる「Microsoft SQL Server 2000」を提供しているマイクロソフトは、緊急対策ページを開設してセキュリティパッチの導入や、サービスパックの適用を呼びかけている。
マイクロソフトでは、Slammer専門ページを開設。「どのような環境下でSlammerに感染するのか」や、「影響を受ける恐れのある製品」などの情報や対策方法、FAQなどを公開している。同社は、2002年7月に既に今回問題となっている脆弱性のセキュリティパッチを提供しているので、未対応の場合は早急に導入する必要がある。
■「Microsoft SQL Server 2000 SP3」
http://www.microsoft.com/japan/sql/downloads/2000/sp3.asp
「Slammer」対策として、マイクロソフトが最も推奨しているのはリリースされたばかりのSQL Server 2000用のService Pack 3(SP3)を適用することだ。SP3には、SP1やSP2を含む、SQL Server 2000リリース以後の修正プログラムや追加機能が含まれている。
SP3を導入できない場合には、今回Slammerに利用されている脆弱性を修正するために、この「MS02-061」パッチを導入しなければならない。この「MS02-061」には、今回問題となった「MS02-039」も含まれている。なお、「MS02-061」や「MS02-039」を適用するためには、SP2が適用済みでなければならない。
なんらかの問題で「MS02-061」も導入できない場合は、最低限「MS02-039」を導入しなければならない。このパッチを当てていない状態ではSlammerが利用する脆弱性を防いでいないため、ルータ等で1434/UDPポートを塞いだとしても根本的な解決には至らない。
●駆除ツール編
ここでは、感染の疑いがある場合に検査を行なうツールや、駆除を行なうツールを提供する。基本的には、マイクロソフトのセキュリティパッチを導入して再起動すれば、サーバーのメモリー上からSlammerを消すことができる。
■シマンテック
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.sqlexp.worm.removal.tool.html
このツールでは、レジストリーやハードディスク上のチェックを行なった後に、パッチを導入していない場合には、導入を促すメッセージを表示する機能を持っている。
■トレンドマイクロ:トレンドマイクロ システム クリーナVer.3.0(TSC)
http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=4700
「トレンドマイクロ システム クリーナVer.3.0」は、ウイルスによって改変されたWindowsシステムを修復するツールで、今回Slammerにも対応した。メモリー上にあるSlammerのプログラムを検索し、発見した際には駆除を行ない、SQL Serverを再起動することによってSlammerの除去を行なう。
■日本ネットワークアソシエイツ:Stinger
http://www.nai.com/japan/virusinfo/Stinger.asp
日本ネットワークアソシエイツが提供するシステム修復ツール「Stinger」も、TSCと同様に今回Slammerに対応した。Stingerでは、SQLプロセスをシャットダウンするので、管理者権限でログインしていないと実行できない点に注意が必要だ。
■アンラボ
http://www.ahnlab.co.jp/news/view.asp?seq=208&pageNo=1&news_gu=01
アンラボでは、Slammerを検知するツールと今回利用されている脆弱性をチェックするツールを別々に提供している。同社では、まず検知ツールでチェックを行ない、脆弱性チェックでパッチ未導入がわかった場合には、早急にパッチを適用すべきだとしている。
●セキュリティ関連
ウイルス対策ベンダーやマイクロソフト以外にも、セキュリティ関連各社がさまざまな状況を提供している。
■IPA、新種ワーム「MS-SQL ワーム」に関する情報を掲載
http://www.ipa.go.jp/security/ciadr/vul/20030126ms-sql-worm.html
IPAでも、特設ページを開設して注意を促している。サイトによると、Slammerに関する報告が、1月27日17時時点で3件寄せられているという。対策では、他社と同様に「1434/UDPポート」を塞ぐことや、パッチを導入するよう推奨している。
■CERT/CC
http://www.cert.org/advisories/CA-2003-04.html
http://www.lac.co.jp/security/intelligence/CERT/CA-2003_04.html
(日本語版)
CERT/CCでも、詳細に情報を提供している。ここでは、フィルタリングの方法を出口側と入り口側で別々に紹介している点が特徴だ。
■インターネット セキュリティ システムズ(ISS)
http://www.isskk.co.jp/support/techinfo/general/X-ForceslammerWorm.html
セキュリティ情報研究チームである米ISSの「X-Force」が発表したアドバイザリーの翻訳を基に情報を提供している。興味深いのは、ISSのドメイン「isskk.co.jp」におけるSlammer検出数で、25日の14時にピークの1,200件が検出されている。
■PASSJ
http://www.sqlpassj.org/info/slammer.aspx
SQL Serverユーザーグループ「PASSJ」のWebサイト。SQL Serverユーザーグループのサイトなので、SQLの設定方法やパッチ導入時の症状などを詳細に知ることができる。また、メーリングリスト上でも頻繁に情報交換が行なわれている。
■JPCERT/CC
http://www.jpcert.or.jp/at/2003/at030001.txt
Slammerの情報や対策を簡潔にまとめたサイト。JPCERTの調査によると、26日には減少傾向にあるが、今後も引続き不審なアクセスの監視を継続するように推奨している。また、Slammerに関する情報提供も呼びかけている。
■米Matrix Netsystems
http://www.matrixnetsystems.com/ea/index.jsp
米MatrixNetsystemsが25日に発表した「Slammerによる全世界のトラフィックに与えた影響」の分析結果を掲載しているサイト。Slammerが大量発生した25日のトラフィック状況を3種類に分類して掲載している。2番目の「パケットロス率」や3番目の「到達率」を見ると、25日0時頃から急激にトラフィックが増大していることが分かる。
◎関連記事
■「15分で全世界を制圧するウイルス」論文が現実に
■「Slammerウイルスの発信元は米国ISP」?
■Microsoft SQL Server 2000の脆弱性を利用したウイルスが発生
(2003/1/28)
[Reported by otsu-j@impress.co.jp]