SQLワーム被害に「人災だ」の声、日本での影響は軽微

2003/1/28

 マイクロソフトのSQL Server 2000を攻撃するワームが登場し、一時通信回線が遅くなるなど影響が出た。国内での被害は軽微だったが韓国ではドメインネームサーバ(DNS)がダウンしたことで長時間にわたってインターネットが利用不可能になるなど混乱が続いた。

 このワームはSQL Server 2000を攻撃する機能があり、「SQL Slammer Worm」などと呼ばれている。Slammerが初めて確認されたのは、日本時間1月25日午後2時過ぎ。国内の一部企業や大学でインターネットの通信速度が極端に低下したり、アクセスできなくなった。シマンテックによると、午後2時から夕方までに世界で約4万件の感染が確認できたという。

 SlammerはSQL Server 2000の既知のセキュリティホールを攻撃するワーム。UDP 1434ポート(SQL Server 2000解決サービスのポート)にパケットを送信して、セキュリティホールが残っている場合に感染する。感染すると自らが攻撃する側となり、別のSQL Server 2000にパケットを送信して、攻撃する。Slammerに感染したSQL Serverがパケットを送信したり、安全なSQL Serverでも、大量のパケットを受信することで、ネットワークに負荷がかかり通信速度が低下、サーバのパフォーマンスが悪くなる。感染する可能性があるのは、SQL Server 2000の各エディションと、SQL Server 2000 Desktop Engine。

 韓国では感染したSQL ServerがDNSを攻撃。DNSがダウンしたことで全国でインターネットが利用できなくなるなど、大きな影響が出た。企業のサーバでも多くの感染被害が出て、オンラインショッピングなどが利用できなくなった。一方、日本国内ではほとんど感染がなく、シマンテックでは「感染報告は1件だけ」と話している。

 Slammerの感染を防ぐにはマイクロソフトが配布している修正プログラムを導入する。SQL Server 2000 Service Pack 3をインストールすることでも対応できる。一度感染してしまってもSlammerはメモリに滞留するだけなので、システムを再起動すれば消える。ただ、Slammerを改変し、機能が強化した亜種ワームが登場する危険もあり、セキュリティ会社は注意を呼びかけている。

 マイクロソフトは今回のセキュリティホールに対応する修正プログラムを昨年7月に配布。この修正プログラムをサーバの管理者が導入していれば、Slammerの感染を防ぐことができた。修正プログラムが前もって配布されていたことから、マイクロソフトの責任を単純に追求できないだろう。実際、大きな被害が出た韓国では「人災だ」の指摘も出ているようだ。

(垣内郁栄)

[関連リンク]
マイクロソフトのSlammer情報サイト
シマンテックのSlammer情報サイト

[関連記事]
情報セキュリティに求められる3つの条件とは (@ITNews)
最も流行したウイルスはクレズ、トレンドが年間ランキング発表 (@ITNews)
トレンドマイクロ、予防型ウイルス対策構想に対応した新製品 (@ITNews)
「従来の手法は通用しない」、トレンドマイクロの新ウイルス対策構想とは? (@ITNews)
絶好調のシマンテック、企業向けソリューション事業を大幅強化 (@ITNews)
猛威を振るうウイルスKlez、被害は拡大中 (@ITNews)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -