マイクロソフトは11月28日,同社のデータベース製品「Microsoft SQL Server」を狙うワーム「CBLAD」を警告した。ランダムに選択したIPアドレスのマシンのTCPポート1433番に対して,ユーザー名「sa」*,パスワードなし(ブランク)でログインを試みる。ログインに成功すると,ある特定のFTPサーバーからトロイの木馬をダウンロードするとともに,あるIRC(Internet Relay Chat)サーバーへ侵入したことを通知する。これらのサーバーは既に閉鎖されているので,CBLADワームの実害を受けることはないが,同様の手口を使ったワームが今後出現する可能性は十分にある。パスワードをきちんと設定していれば侵入されないので,管理者は確認しておく必要がある。
* saとは,管理者用にあらかじめ用意されているアカウントで,SQL Serverに対してあらゆる権限を持つ。
このワームについては,セキュリティ関連のメーリング・リスト「Incident」などにおいて,米国時間11月20日ごろから報告され始めた。ワームの攻撃対象となるのは,SQL Server 4.21a/6.0/7.0/2000 など。対象製品の詳細については,マイクロソフトのWebページで確認してほしい。
SQL Server が稼働するマシンに同ワームが侵入するためには,以下の条件がそろっている必要がある。
(1)saアカウントにパスワードを設定していない
(2)SQL Server の認証モードに「混合モード(混合セキュリティ)」または「標準セキュリティ(SQL Server 6.5 以前)」を利用している
(3)SQL ServerがTCPポート1433番を使用している
問題は(1)である。saはSQL Serverの管理者アカウントであるにもかかわらず,SQL Server のバージョンやインストール方法によっては,初期パスワードが設定されない。SQL Serverの管理者は,「isql」コマンドを使って,SAのパスワードが設定されているかどうかを確認する必要がある。具体的な確認手順については,マイクロソフトのWebページを参照してほしい。
また,SQL Serverのセキュリティ情報を集めた「SQLSecurity.com」には,「SQL Server Security Checklist」が用意されている。英語情報ではあるが,SQL Serverのセキュリティを高めたい管理者は,ぜひ参考にしてほしい。
◎参考資料
◆Microsoft SQL Server を狙ったワームに関する情報(マイクロソフト)
