ITmedia エンタープライズ

エンタープライズ：ニュース

2003/01/25 21:35:00 更新

速報：UDP/1434ポート宛のパケットが急増、新種のワームの可能性も

1月25日の午後より、UDP/1434ポート宛のパケットが急激に増加し、国内外のネットワークに大きな影響を与えている。

　日本時間の1月25日14時30分前後より、UDP/1434ポート宛のパケットが急激に増加し、国内外のネットワークに大きな影響を与えている。

　UDP/1434（ms-sql-m）は、マイクロソフトのSQL Serverが利用しているポートだ。このポートに対し、通常では考えられない量のパケットが投げつけられている。ただし、送信元のIPアドレスは、どこか1カ所に偏っているわけではなく、北米をはじめさまざまな発信元から送りつけられている模様。

　この結果、回線の輻輳やルータの負荷上昇を招き、通常のネットワーク利用に支障を来たすケースが報告されている。実質的なDoS（サービス拒否）攻撃状態といえるだろう。20時以降、やや小康状態にあるというが、引き続き警戒が必要だ。

　セキュリティ関連のメーリングリストには、その原因をSQL Serverのセキュリティホールを狙った新種のワームだとする意見もあるが、正確な原因は、25日21時現在不明のままだ。攻撃に関する情報を提供しているDShieldには、現時点では、UDP/1434に対する攻撃に関連する情報は反映されていない。また、これが新手のワーム/ウイルスだとしても、ウイルス対策ベンダー各社による解析情報などもまだ公開されていない。

　対策としては、まずルータの設定を変更してUDP/1434ポートを塞ぎ、外から内部に向けてのパケットを遮断することが挙げられる。またSQL Serverを運用している場合は、それが不審なパケットを大量に吐き出していないか確認するとともに、昨年報告されたセキュリティホール（MS02-039）に対するものをはじめ、改めてパッチの適用を徹底しておくべきだ。

　なお、複数のメディアで、韓国におけるインターネット接続障害が報じられているが、この問題との関連は不明である。

[ITmedia]