写真●日本発信の攻撃トップ3(シマンテックの「月間調査レポート」から引用)
写真●日本発信の攻撃トップ3(シマンテックの「月間調査レポート」から引用)
[画像のクリックで拡大表示]

 シマンテックは9月12日,2005年7月24日から8月23日までに同社が検出したインターネット上の攻撃や悪質なプログラムなどの動向をまとめたレポートを発表した。それによると,国内のIPアドレスが発信元になっている攻撃のうち最も多かったのは,SQL Server 2000/MSDE 2000の脆弱性(セキュリティ・ホール)を突く攻撃だったという。これは,2003年1月に出現した「SQL Slammer」が悪用した脆弱性である。

 シマンテックでは,世界180カ国2万4000カ所に設置したインターネット上のセンサーから収集した情報を基に,現在出回っている攻撃や悪質なプログラムをリアルタイムで分析している。そのデータを月ごとにまとめて,メディアなどに「月間調査レポート」として配信している。

 同レポートでは,8月中(7月24日から8月23日)に確認された攻撃パケットのうち,国内のISPや企業などに付与されているIPアドレスが発信元になっているものを集計し,その特徴をまとめている。それによると,“国内発”の攻撃パケットの37%が,2002年7月に公表された「SQL Server 2000 解決サービスのバッファのオーバーランにより,コードが実行される(MS02-039)」を悪用するものだったという。同社ではこの脆弱性を突く攻撃を「SQLExp Incoming Worm Attack」としている(写真)。

 現在ではSQL Slammerのほかに,「Gaobot」や「Spybot」といったボットの変種の中にも,この脆弱性を悪用するものが存在する。同社では,SQL Server 2000やMSDE 2000を含むソフトウエアをインストールした際には,すぐにパッチを適用するよう注意を呼びかけている。

 2番目に多かったのは,同社が「Generic ICMP Flood Attack」と呼ぶ攻撃で,国内発の攻撃パケットの11%を占める。これは,大量のICMPパケットを攻撃対象へ送信して帯域を圧迫するDoS(サービス妨害)攻撃の一種。

 また,8月中に国内で最も多く確認された悪質なプログラムは「Netsky.P」だったという。次いで,トロイの木馬「TooSo」の変種「TooSo.K」「TooSo.L」が上位を占めた。