Microsoft SQL Server 2000 の既知の脆弱性(MS02-039)をねらうワーム "Slammer" に関し、ベンダ各社が無償駆除ツールの提供などにより、対応をすすめている。 このワームは UDP1434ポートを使用して、Microsoft SQL Server 2000に対する攻撃を実施する。また、SQLの技術を利用するMicrosoft Desktop Engine(MSDE) 2000にも同様の脆弱性があるため、同様の攻撃を実施する。成功するとそのホストに感染する。感染した後は、ランダムに新しいIPアドレスを作成し、攻撃を開始する。このワームは、ファイルの作成・コピーなどを行わず、直接メモリ上で不正コードが実行される。そのため、リブートすることで感染そのものを除去することも可能である。また、一時的な回避方法として、UDP1434ポートへのアクセスを遮断する方法がある。ただし、これらは一時的な回避、対策方法であり、脆弱性への対処をしないと、再度攻撃を受けて感染する可能性が高い。 このワームは、大量のパケットを UDP1434 ポートに送信するため、トラフィックが急増している。>> 脆弱性に関する情報 http://www.cert.org/advisories/CA-2002-22.html http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS02-039ov.asp http://www.nextgenss.com/advisories/mssql-udp.txt http://www.microsoft.com/technet/security/bulletin/MS02-039.asp http://www.jpcert.or.jp/at/2003/at030001.txt>> ベンダ各社の対応状況▼トレンドマイクロ┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SQLP1434.A 無償駆除ツールのダウンロードURL http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=4700▼シマンテック┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ http://www.symantec.com/region/jp/sarcj/data/w/w32.sqlexp.worm.html 無償駆除ツールのダウンロードURL http://www.symantec.com/region/jp/sarcj/data/w/w32.sqlexp.worm.removal.tool.html 脆弱性についての情報 http://www.symantec.com/region/jp/sarcj/security/content/2270.html▼日本ネットワークアソシエイツ┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ http://www.nai.com/japan/virusinfo/virS.asp?v=W32/SQLSlammer 無償駆除ツールのダウンロードURL http://www.nai.com/japan/virusinfo/stinger.asp SQLSlammerに関するストリーミングセミナー http://www.nai.com/japan/mcafee/seminar_virusinternet.asp▼日本エフ・セキュア┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ http://www.f-secure.co.jp/v-descs/v-descs3/sapphire.htm▼インターネット セキュリティ システムズ┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ http://www.isskk.co.jp/support/techinfo/general/X-ForceslammerWorm.html▼Sophos┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ http://www.sophos.co.jp/virusinfo/analyses/w32sqlslama.html▼マイクロソフト┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ http://www.microsoft.com/japan/technet/security/virus/sqlslam.asp□参考情報シスコ社の製品の一部にも Microsoft SQL Server 2000 が含まれているため対処が必要Cisco Security Advisory: Microsoft SQL Server 2000 Vulnerabilities in Cisco Products - MS02-061http://www.cisco.com/warp/public/707/cisco-sa-20030126-ms02-061.shtml Analysis of Sapphire SQL Wormhttp://www.techie.hopto.org/sqlworm.htmlhttp://archives.neohapsis.com/archives/ntbugtraq/2003-q1/0015.html Retina Sapphire SQL Worm Scanner from eEye Digital Securityhttp://www.eeye.com/html/Research/Tools/SapphireSQL.html SQL Sapphire Worm Analysis: http://archives.neohapsis.com/archives/ntbugtraq/2003-q1/0015.html Re: W32/SQLSlammer PACKET CAPTUREhttp://archives.neohapsis.com/archives/ntbugtraq/2003-q1/0016.html New MS SQL Server Worm: http://www.st.ryukoku.ac.jp/~kjm/security/ml-archive/incidents/2003.01/msg00119.html http://www.digitaloffense.net/worms/mssql_udp_worm/ BUGTRAQ http://msgs.securepoint.com/cgi-bin/get/bugtraq0301/238.html「バガボンド プレスクラブ」に会員登録されている方は、今回の記事の 内容を会員規約にのっとった形式で、無償でご自由に転載できます。 「バガボンド プレスクラブ」ご入会は下記URLで受け付けております。 イントラネット向け転載 http://vagabond.co.jp/press_y/index.html 媒体社向け転載 http://vagabond.co.jp/press/index.html
