セキュリティ・ベンダーである米Internet Security Systems(ISS)は米国時間5月21日,Microsoft SQL Serverを狙うワームが流行していることを警告した。実際,セキュリティ・インシデント情報を交換するメーリング・リスト「Incidents」などには,SQL Serverが一般的に使用するTCPポート1433番へのアクセスが急増していることが報告されている。

 ワームは,SQL Serverにデフォルトで用意されているユーザー名「sa」,パスワードなし(ブランク)でログインを試みる。侵入に成功すると,設定やパスワード情報を外部へ送信するとともに,他のマシンへの侵入を試みる。対策は,(1)saユーザーのアカウントにパスワードを設定する,(2)ファイアウオールなどで1433番をふさぐ――ことなど。

 このアカウントを使用して侵入を試みるワームは以前にも流行している(関連記事)。saユーザー・アカウントのぜい弱性については,以前から指摘されているので「パスワードなし」のままにしている管理者は少ないだろうが,「osql」コマンドを使うなどして,きちんと設定されていることを改めて確認したい。なお,SQL Server の認証モードにWindows 認証(統合セキュリティ)を利用している場合には,saユーザー・アカウントを利用できないので,ワームに侵入されることはない。

 外部からSQL Serverにアクセスできないように,ファイアウオールなどで1433番をふさいでおくことも重要である。今回に限らず,不要なポートや,攻撃を受ける恐れがあるポートをふさいでおくことは,セキュリティ上の“鉄則”である。

 なお,メーリング・リストなどでは,今回のワームは,マイクロソフトが2002年4月に公開した,SQL Serverのセキュリティ・ホールを悪用するという情報も流れている。しかし,ISSの情報には記載されていないし,議論の流れを見る限りでは,悪用することはなさそうである。もちろん,今回のワームが悪用しなくても,セキュリティ・ホールであることには変わりない。必要に応じてパッチを適用しておきたい(関連記事)。

◎参考資料
Microsoft SQL Spida Worm Propagation(米Internet Security Systems)

(勝村 幸博=IT Pro)