要対処!Microsoft SQL Server 2000 ねらうワーム "Slammer"(更新情報) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.19(木)

要対処!Microsoft SQL Server 2000 ねらうワーム "Slammer"(更新情報)

脆弱性と脅威 脅威動向

 先日、広範囲に渡る被害が報告されたワーム "Slammer" 。Microsoft SQL Server 2000 の既知の脆弱性(MS02-039)をねらうこのワームに対し、ベンダ各社が無償駆除ツールの提供などにより、対応をすすめている。今日にかけて、いくつかの情報更新が行われた。

 このワームは UDP1434ポートを使用して、Microsoft SQL Server 2000に対する攻撃を実施する。また、SQLの技術を利用するMicrosoft Desktop Engine(MSDE) 2000にも同様の脆弱性があるため、同様の攻撃を実施する。成功するとそのホストに感染する。感染した後は、ランダムに新しいIPアドレスを作成し、攻撃を開始する。このワームは、ファイルの作成・コピーなどを行わず、直接メモリ上で不正コードが実行される。そのため、リブートすることで感染そのものを除去することも可能である。また、一時的な回避方法として、UDP1434ポートへのアクセスを遮断する方法がある。ただし、これらは一時的な回避、対策方法であり、脆弱性への対処をしないと、再度攻撃を受けて感染する可能性が高い。

 このワームは、大量のパケットを UDP1434 ポートに送信するため、トラフィックが急増している。



>> ベンダ各社の対応状況

▼トレンドマイクロ
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SQLP1434.A

無償駆除ツールのダウンロードURL
http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=4700

▼シマンテック
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
http://www.symantec.com/region/jp/sarcj/data/w/w32.sqlexp.worm.html

無償駆除ツールのダウンロードURL
http://www.symantec.com/region/jp/sarcj/data/w/w32.sqlexp.worm.removal.tool.html
脆弱性についての情報
http://www.symantec.com/region/jp/sarcj/security/content/2270.html

▼日本ネットワークアソシエイツ
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
http://www.nai.com/japan/virusinfo/virS.asp?v=W32/SQLSlammer.worm

無償駆除ツールのダウンロードURL
http://www.nai.com/japan/virusinfo/stinger.asp
SQLSlammerに関するストリーミングセミナー
http://www.nai.com/japan/mcafee/seminar_virusinternet.asp
ウイルス絵解き理解
http://www.nai.com/japan/virusinfo/viruscartoon.asp?ViruGazoMokujiNo=8

▼日本エフ・セキュア
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
http://www.f-secure.co.jp/v-descs/v-descs3/slammer.htm

▼インターネット セキュリティ システムズ
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
http://www.isskk.co.jp/support/techinfo/general/X-ForceslammerWorm.html

▼Sophos
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
http://www.sophos.co.jp/virusinfo/analyses/w32sqlslama.html

▼マイクロソフト
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
http://www.microsoft.com/japan/technet/security/virus/sqlslam.asp


□関連情報

MS内のサーバも「対策する時間がなく」Slammerによってダウン
http://www.securitynewsportal.com/cgi-bin/cgi-script/csNews/csNews.cgi?database=JanV%2edb&command=viewone&id=78&op=t

インターネット保安措置しなければ「処罰」
Slammer 蔓延の原因は、不法コピー製品!?
http://japanese.chosun.com/site/data/html_dir/2003/01/27/20030127000033.html

「ウイルス侵入」11の海外アドレスを確保
http://japanese.chosun.com/site/data/html_dir/2003/01/27/20030127000065.html

「インターネット事態」PL訴訟可能に
http://japanese.chosun.com/site/data/html_dir/2003/01/27/20030127000055.html

eEyeがSlammerのスキャナを無償で提供
http://www.eeye.com/html/Research/Tools/SapphireSQL.html


SQL Server のユーザーグループ、
PASSJより「SQL Slammer ワーム」特設ページ開設のお知らせ
===================================

SQL Serverユーザーグループ(PASSJ)では、今回さまざまな被害を起こした
「SQL Slammer ワーム」に関する特設ページを開設いたしました。

* 「SQL Slammer ワーム」特設ページ
http://www.sqlpassj.org/info/slammer.aspx

基本的なワーム情報だけでは現場のユーザには、不十分であると考え、「セキュリティ分科会」を中心に問題の背景や、関連する情報、考えられる問題点、修正プログラムの解析など広く、深く情報交換を行っています。それらを元に随時を更新していますので、ぜひご覧下さい。

* SQL Server に関する脆弱性、セキュリティに関してのテーマを扱う、
「セキュリティ分科会」過去ログページ
http://www.sqlpassj.org/bbs/ml_disp.aspx?forum_id=2&disp_mode=4


>> 脆弱性に関する情報

  http://www.cert.org/advisories/CA-2002-22.html
  http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS02-039ov.asp
  http://www.nextgenss.com/advisories/mssql-udp.txt
  http://www.microsoft.com/technet/security/bulletin/MS02-039.asp
  http://www.jpcert.or.jp/at/2003/at030001.txt


□参考情報

シスコ社の製品の一部にも Microsoft SQL Server 2000 が含まれているため対処が必要
Cisco Security Advisory:
Microsoft SQL Server 2000 Vulnerabilities in Cisco Products - MS02-061
http://www.cisco.com/warp/public/707/cisco-sa-20030126-ms02-061.shtml

Analysis of Sapphire SQL Worm
http://www.techie.hopto.org/sqlworm.html

http://archives.neohapsis.com/archives/ntbugtraq/2003-q1/0015.html

Retina Sapphire SQL Worm Scanner from eEye Digital Security
http://www.eeye.com/html/Research/Tools/SapphireSQL.html

SQL Sapphire Worm Analysis:
http://archives.neohapsis.com/archives/ntbugtraq/2003-q1/0015.html

Re: W32/SQLSlammer PACKET CAPTURE
http://archives.neohapsis.com/archives/ntbugtraq/2003-q1/0016.html

New MS SQL Server Worm:
http://www.st.ryukoku.ac.jp/~kjm/security/ml-archive/incidents/2003.01/msg00119.html
http://www.digitaloffense.net/worms/mssql_udp_worm/

BUGTRAQ
http://msgs.securepoint.com/cgi-bin/get/bugtraq0301/238.html


「バガボンド プレスクラブ」に会員登録されている方は、今回の記事の
 内容を会員規約にのっとった形式で、無償でご自由に転載できます。
「バガボンド プレスクラブ」ご入会は下記URLで受け付けております。
イントラネット向け転載
http://vagabond.co.jp/press_y/index.html
媒体社向け転載
http://vagabond.co.jp/press/index.html
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 カテゴリの人気記事 MONTHLY ランキング

  1. OSSに潜在する訴訟・脆弱性リスク

    OSSに潜在する訴訟・脆弱性リスク

  2. 「JP1/秘文」で作成した自己復号型機密ファイルに、DLL読込に関する脆弱性(HIRT)

    「JP1/秘文」で作成した自己復号型機密ファイルに、DLL読込に関する脆弱性(HIRT)

  3. 「DLL読み込み」の脆弱性の公表件数が急増、対策方法を紹介(IPA)

    「DLL読み込み」の脆弱性の公表件数が急増、対策方法を紹介(IPA)

  4. Apache Struts 2 において REST プラグインでの XML データ処理の不備により遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report)

  5. Apache Tomcat において値検証不備により JSP ファイルがアップロード可能となる脆弱性(Scan Tech Report)

  6. 10月10日に「Office 2007」の延長サポートが終了、しかし40万台が今も利用(トレンドマイクロ)

  7. Apache Tomcatにおける、任意のファイルをアップロードされる脆弱性を検証(NTTデータ先端技術)

  8. マイクロソフトが10月のセキュリティ更新プログラムを公開、すでに悪用も(IPA)

  9. インシデントは「スキャン」が半数、フィッシングサイト報告件数は千件超え(JPCERT/CC)

  10. 偽の警告文を表示する詐欺サイトが急増、警察庁を装い罰金を要求するケースも(キヤノンITS)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×