News 2003年1月27日 10:02 PM 更新

Slammer“サイバーテロ説”は安易だった?

一般紙やTVでも大々的に報道された「Slammer(スラマー)」。むやみやたらと送り出されたのはワーム自身と“サイバーテロ”という言葉だった

 1月25日に発生し、一般紙やTVなどでも大々的に報道された「Slammer(スラマー)」。SQL Server 2000とMSDE 2000のセキュリティホールを悪用したこの新種のワームは、韓国などで大規模な通信障害を起こしたものの、現在は収束に向かいつつある。

 “既知”のセキュリティホールを悪用し、ランダムにターゲットを探してUDP/IPインターネットトラフィックを発生させるだけのワームが、なぜこれほど注目を集めたのか。シマンテックSSR(Symantec Security Response)の星澤裕二氏に話を聞いた。なお、今回の新種ワームの名称は“Slammer”以外にもいくつかあり、Symantecでは「W32.SQLExp.Worm」と呼んでいるが、今回の記事内では“Slammer”で統一している。ちなみに各社の呼称は「SQL Slammer Worm」(Internet Security Systems)、「W32/SQLSlammer」(McAfee)、「DDOS.SQLP1434.A」(Trendmicro)、「Sapphire」(F-Secure)など。

Slammer被害は沈静化に

 星澤氏によれば「日本時間で1月25日午後2時過ぎぐらいに第1報があった。ワーム検出のピークは25日の午後6時前後で、ユニークシステム数で3万−4万台ぐらい。その後、午後9時頃から急激に減少し、日付が変わる夜中の0時ごろには数千レベルにまでに減少した。現在はほとんど被害報告もなく、沈静化に向かっている」という。

 発生が週末だったことから、週明けの本日27日に被害が拡大するのではといった話もあった。だが、星澤氏は「企業の業務システムなどが稼動することで、被害が急激に増えることはまずない。今後の被害拡大の可能性も低い」と見ている。「今回のワームはサーバに攻撃するが、土日だからといってサーバを止めるケースは少ないので、感染されているのであれば土日ですでに(感染)されている。土日に感染されたのを気づかず、月曜日に出社して感染に気づくというケースはあるかもしれないが、そんなのは管理者として失格」(星澤氏)。

Slammerの“出来ばえ”は「単純で工夫がない」

 Slammerは一昨年に猛威を振るった「Code Red」と同様に、セキュリティホールの脆弱性を狙った攻撃によって外部から直接メモリ上で不正コードが実行される。侵入時にファイルコピーなどは行わないため、ファイルベースで監視を行う通常のアンチウイルスソフトでは、ワームの侵入を検出できないのだ。

 さらにSlammerは、非常に激しい攻撃をしかけるのが特徴。「感染後は、ランダムに生成したIPアドレスのUDP/1434ポートに、ひたすら自分自身を送り続ける。DoS攻撃を行う同様のワームは、ある程度インターバルをとって攻撃をかけるが、今回の(Slammer)は休みなしに連続してアタックをかける。これが、異常なトラフィック増加につながったほか、感染したサーバが、自らが送出する激しい攻撃行為に耐え切れずダウンしてしまうケースも多かったようだ」(星澤氏)。

 ただし、ワーム自体の“出来ばえ”は、それほど“優秀”なものではないようだ。

 「DoS攻撃を仕掛けるワームは、わざと数分おきや1日おきなどインターバルをおいて感染したことを隠す。だが、今回のケースはひたすら連続攻撃をかけるのみ。ある条件でのループ分岐などもなく、IPアドレスを単純に生成して、攻撃することを繰り返すだけ。ワームが送り込んでくる不正プログラムのサイズも376バイトと他のワームに比べても小さい。CodeRedなどの複合型から比べても、感染スタイルに工夫も見られない。天才プログラマが作るようなものではない」(星澤氏)。

 だが、単純な感染方法にもかかわらず、被害は全世界に広がった。

 「つまりは、すべてのウイルスは危険性があり、すべてのセキュリティホールは攻撃の対象になるということ。言い尽くされていることだが、結局、セキュリティ対策は常に万全を期し、しかも継続して行わなくてはいけない」(星澤氏)。

“サイバーテロ”という言葉は「使い過ぎ」

 今回のSlammerは、韓国で大規模なトラフィック障害を引き起こし、インターネット接続ができなくなったりオンラインサービスに支障をきたすなど、大きな被害をもたらした。なぜ、韓国でこれほど被害が広がったのだろうか。

 「もちろん、韓国の高いブロードバンド普及率が被害拡大の一因であることは間違いないが、それ以外の理由としては、韓国特有のインターネット事情が影響しているのだろう。韓国は、日本や米国ほどISPの数が多くない。数社のISPにネットワーク網が集まって分散されていないため、そこで障害が起こると被害が一気に広がってしまうのだ」(星澤氏)。

 一方、サイバーテロの可能性について星澤氏は「今回のワームは不特定多数をターゲットにしており韓国だけを狙ったものではない。一部報道にあるような、韓国を狙ったサイバーテロという可能性は低い」と分析する。

 「サイバーテロをどう定義するかにもよるだろうが、本来サイバーテロというのは生活に支障をきたすような基幹システムや政府機関などへの攻撃を指すのであって、不特定多数のサーバに攻撃するようなワームでサイバーテロを起こすのは難しい。一般紙やTVなどは、あまりにも安易にサイバーテロという言葉を使い過ぎている。それによってユーザーのセキュリティ意識が高まればよいのだが、“テロ”という言葉が身近ではない日本人にはサイバーテロという言葉は逆効果になる」(星澤氏)。

関連記事
▼ ワームの猛威で各社対応に追われた週末
▼ 「Slammer」対策でMSが特設ページを公開
▼ 続報:犯人は「Slammer」――各社が新種のワームを警告
▼ 速報:UDP/1434ポート宛のパケットが急増、新種のワームの可能性も

関連リンク
▼ シマンテック

[西坂真人, ITmedia]

Copyright © ITmedia, Inc. All Rights Reserved.