「Forbot」の新亜種、MySQLを標的に拡散

　ワーム型の新しい脅威がインターネット上で拡散、オープンソースデータベースソフトのMySQLを搭載したコンピュータが標的となっている。あるセキュリティ専門家によれば、MySQLを実行しているWindowsマシン数千台が既に感染している。

　感染を広げているのは「Forbot」というネットワークワームの1バージョン。WindowsシステムでMySQLのセキュリティの不備を突いて感染する。LURHQの上級セキュリティ研究者ジョー・スチュワート氏によれば、MySQLをターゲットとして自動繁殖するインターネットの脅威が出現したのはほぼ初めて。MySQLを使って幅広いデータベースアプリケーションを実行しているマシンに感染する恐れがある。

　SANS InstituteのInternet Storm Center（ISC）でCTOを務めるヨハネス・ウルリッヒ氏によれば、今回の脅威が初めて検出されたのは1月26日。オーストラリアのWebデベロッパーから、「spoolcll.exe」というプログラムに感染したと報告があった。このプログラムはスウェーデンのIRCに接続を試みるという。

　ISCでは、MySQLポート3306のスキャンが激増していることも突き止めた。これはForbotの新しい亜種と関係があるとウルリッヒ氏。

　このForbotの亜種は、パスワードの弱点を突き、管理者アカウントを利用して感染する。リストアップされた1000種類ほどのパスワード候補を試してアカウントをクラッキングするという。

　MySQLのルートアカウントにアクセスすると、「MySQL UDF Dynamic Library Exploit」という方法を用いて不正コードを感染システムにアップロードしインストールする。Forbotが使っているこの悪用方法は12月に指摘されたもので、攻撃者がいわゆる管理者用の「ルート」権限を取得して、ルートアカウントで利用できるデフォルト機能を大幅に拡大することができてしまう。