今週のSecurity Check

 日本IBMセキュリティー・オペレーション・センター(東京SOC)では、現在も毎日150件前後のIPアドレスからSQL Slammerの攻撃パケットを検知している。

 SQL Slammerは2003年に発生したワームである。Microsoft SQL Server 2000またはMSDE 2000のぜい弱性(MS02-039)を悪用して爆発的に感染を広げるとともに、その攻撃パケットによってインターネット全体のトラフィックに負荷を与え、多大な被害をもたらした。そして発生から7年以上が経過した現在も、活動を続けているのである。以下は、東京SOCで最近半年間に確認されたSQL Slammer攻撃パケットの発信元ノード数の推移である。

図1●SQL Slammerワーム攻撃パケット発信元ノード数の推移
(東京SOC調べ:2009年12月1日~2010年5月31日)
[画像のクリックで拡大表示]

 SQL Slammerの攻撃パケットは、特定のホスト(IPアドレス)やネットワークから送信されているわけではない。以下は、同期間中に確認されたSQL Slammer攻撃パケットの発信元IPアドレスの国別割合を示したものである。

図2●SQL Slammerワーム攻撃パケットの発信元IPアドレス国別割合
(東京SOC調べ:2009年12月1日~2010年5月31日)

 中国の割合が多いものの、その他の国からも攻撃パケットが確認されており、送信元として計110カ国、1万5798件のIPアドレスが確認された。日本国内のIPアドレスからの攻撃パケットもある。しかも、コンシューマー用のネットワークだけでなく、企業ネットワークから送信されたパケットが確認されている。これは、セキュリティ対策としてのパッチ適用が重要視されている現在においても、SQL Slammerワームに感染したSQL Server 2000(もしくはMSDE 2000)が企業内に放置されていることを意味している。

 実は、こうした実情がうかがえるのはSQL Slammerだけではない。SQL Slammerと同時期に発生した、Nimda(2001年)やNachi(2003年)などインターネット経由で感染を広めることを主目的としたワームも似たような状況にある。

 これらのワームも大量のIPアドレスに対して無差別に攻撃を行い、発生時にはSQL Slammerと同様にインターネット全体に多大な影響を及ぼした。そして、現在もこれらのワームの活動を示す攻撃パケットが連日検知されている。いずれもパッチを適用することで感染を防ぐことが可能であるにもかかわらず、である。企業ネットワークを含め、2002年頃のパッチすら適用されていない環境が現在でも少なからず存在していることは確かだ。

 ユーザーはすぐにでも、セキュリティパッチを適用するほうがよい。ただ、中には運用上の問題でパッチ適用を延ばさざるを得ないケースがある。パッチ適用が実施される前に攻撃に遭遇してしまう危険性もある。そこで考えられる最低限の作業としては、攻撃を受け実際に被害に遭っていないかどうかを確認したい。そのための比較的簡単な方法は、ファイアウォールでアウトバウンド通信を検査することである。アウトバウンド通信を検査することで、以下のような効果を得ることができる。

・ワームに感染したノードの検出
・情報を盗み出すウイルスやボットに感染したノードの検出

 SQL Slammer のようなワームは、感染を拡大するために多くの通信を行う。この通信の一部がインターネットに向かった際に、ファイアウォールのアウトバウンド通信のログに不自然な痕跡を残す。このようなログの確認からワームの感染を発見できる。

 アウトバウンド通信の検査は最近のマルウエア対策においても有効である。最近のマルウエアは多くの場合、マルウエア自身のアップデートや盗み出した情報の送信、ボットネットへの接続などの目的で外部に対して通信を行う。アウトバウンドの通信を検査し、通常利用しないプロトコルによる通信や、通常アクセスしないサーバーへの通信などを確認することで、マルウエアの感染にいち早く気づき、対処することができる。


窪田 豪史
日本IBM
マネージド・セキュリティー・サービス
セキュリティー・オペレーション・センター
 「今週のSecurity Check」は,セキュリティに関する技術コラムです。日本IBMマネージド・セキュリティー・サービスのスタッフの方々を執筆陣に迎え,同社のセキュリティー・オペレーション・センター(SOC)で観測した攻撃の傾向や,セキュリティコンサルタントが現場で得たエッセンスなどを織り交ぜながら,セキュリティに関する技術や最新動向などを分かりやすく解説していただきます。(編集部より)

■IBM Security Servicesが提供するネットワークセキュリティの最新情報はこちら