エンタープライズ:ニュース 2003/01/26 02:29:00 更新


続報:犯人は「Slammer」――各社が新種のワームを警告

UDP/1434ポートへの大量のトラフィックを発生させ、国内外のネットワークに深刻な影響を与えた犯人である新種のワーム、「Slammer」について、各社が相次いで警告を公開した。

 UDP/1434ポートへの大量のトラフィックを発生させ、国内外のネットワークに深刻な影響を与えた、その犯人が明らかになった。

 1月25日夜、複数のセキュリティ関連企業が相次いでアドバイザリを発行し、「Slammer」と呼ばれる新種のワームについて警告した(関連リンク参照)。Slammerは、マイクロソフトのSQL Server 2000に感染するワームだ。Microsoft Office 2000/Access 2000の「SQL Server 2000 Desktop Engine(MSDE 2000)」にも影響を与えるが、このエンジンは別途専用プログラムを用いない限り、デフォルトではインストールされない。

 Slammerは、昨年7月に報告された「解決サービスのバッファオーバーフローに関するセキュリティホール(MS02-039)」を悪用するもので、1月25日午後2時過ぎより急速に感染、拡散した。ただし26日に入るころには、収束に向かっている。

 一般的なウイルスの挙動とはやや異なり、Slammerが、感染した対象に破壊的なダメージを与えることはない。代わりに、新たなターゲットを探す際に大量のトラフィックを発生させ、ネットワークのパフォーマンスに深刻なダメージを与える。

 対策方法は、大きく分けて2つある。まずはネットワークの出入り口部分でのフィルタリングだ。ルータ、もしくはファイアウォールなどの設定を変更し、外部からUDP/1434および1433ポートへのアクセスは遮断する。

 もう1つは、SQL Server 2000、もしくはMSDE 2000を利用している場合だが、セキュリティパッチの適用状況を確認し、MS02-039のセキュリティホールが塞がれているかどうかを確認する。もしパッチが適用されていなければ、速やかにパッチをダウンロードして適用すべきだ(先日公開されたばかりのSQL Server 2000 Service Pack 3にも含まれており、こちらのほうが望ましい)。

 なおSlammerは、メモリに感染するだけなので、システムをリブートすれば取り除くことはできる。しかしそのまま再起動するだけでは、またもやSlammerの餌食になることは言うまでもない。

 Slammerはいったん感染すると、Windows内部のAPI関数を利用してランダムなIPアドレスを生成し、そのUDP/1434ポートに、自分自身を繰り返し送りつける。この結果、「数百万にも上る大量のUDP/IPインターネットトラフィックを発生させ」(ISS X-Forceのアドバイザリ)、ネットワークを機能不全状態に追い込んだ。発生したのが土曜日の午後(米国では金曜日夜から土曜日にかけて)というタイミングだったことも、一因として考えられるだろう。

 しかしSlammer自体には、不正侵入のための裏口となるバックドアや、DoS(サービス拒否)攻撃のゾンビとなる機能は含まれていない。だが、常軌を逸したレベルのトラフィックをランダムに送りつけたため、大規模なDoS攻撃が起こる結果となった。

 しかもSlammerは、既知のセキュリティホールを悪用しているだけで、電子メールの添付ファイルを通じての感染もなければ、Webサーバのセキュリティホールの悪用など、複数の感染経路を組み合わせているわけでもない。ランダムにターゲットを探し出し、感染可能なホストが見つかればそれを悪用するだけ。かつて大規模な被害を与えた、CodeRedやNimdaといった「複合型の脅威」に比べると、実に単純な感染方法だ。それでもこのワームは、日本のみならず北米、アジアなど、全世界的に影響を与えた。

 本当に大規模な混乱を引き起こそうとしたのか、それとももっと軽い気持ちの愉快犯だったのか、いずれにせよSlammer作者の責任が重大であることは言うまでもない。しかしそれ以上に深刻なのは、半年以上も前に発見され、パッチも提供済みのセキュリティホールが、これだけ多くのサーバで塞がれないままになっているという事実のほうだ。いわゆる“ハッカーによるサイバーテロ”への警戒も大事だが、その前にやるべきことが残っている、それが如実に示された事件ではないだろうか。

関連記事
▼速報:UDP/1434ポート宛のパケットが急増、新種のワームの可能性も
▼SQLサーバに再び深刻なセキュリティホール

関連リンク
▼SQL Sapphire Worm Analysis
▼ISC Analysis:Port 1434 MS-SQL Worm
▼CERT Advisory CA-2003-04 MS-SQL Server Worm
▼インターネット セキュリティ システムズ(Microsoft SQL Slammer Wormnの蔓延)
▼シマンテック(W32.SQLExp.Worm)
▼トレンドマイクロ(WORM_SQLP1434.A)
▼日本ネットワークアソシエイツ(W32/SQLSlammer)
▼マイクロソフト(SQL Server を標的とした SQL Slammer ワームに関する情報)

[高橋睦美,ITmedia]