【緊急対策：世界規模のネット障害】原因はSQL Serverのホールか，ユーザーは対策を急げ

パッチの適用とUDPポート1434番の遮断が急務，ウイルス対策ソフトでは検知できない

勝村幸博

2003.01.26

　セキュリティ組織およびベンダーは1月25日以降，Microsoft SQL Server 2000およびMicrosoft Desktop Engine（MSDE）2000を稼働しているマシンに感染を広げるワーム（ウイルス）「SQL Slammer（Sapphire，SQLExp，SQLP1434）」を警告している。メーリング・リストなどの情報によると，ワームが感染を広げるために送信するトラフィックにより，一部のネットワークでは通信障害が発生している。1月25日以降，各種メディアにより世界規模でネットワーク障害が発生しているという報道がなされている。SQL Slammerがすべての原因かどうかは現在のところ不明であるが，その可能性は高い。

　ワームに感染しないための対策は，パッチ（「MS02-039」または「MS02-061」）あるいはSQL Server 2000 Service Pack 3（SP3）を適用して，SQL Server／MSDEのセキュリティ・ホールをふさぐこと，およびワームが使用するUDP 1434番をファイアウオールなどで遮断することである。既に感染している場合には，パッチあるいはSP3を適用して，マシンを再起動する。今回のワームはメモリーに常駐するだけなので，再起動により，その動作を止めることができる。

　以前大きな被害をもたらした「Code Red」と同様に，今回のワームはメモリーに常駐し，ファイルなどは作成しない。このため，ウイルス対策ソフトでは検知できないので注意が必要である。

過去のセキュリティ・ホールを悪用

　今回感染を広げているワームは，SQL Server 2000およびMSDE 2000に見つかった「（MS02-039）Buffer Overruns in SQL Server 2000 Resolution Service Could Enable Code Executionの脆弱性」のセキュリティ・ホールを悪用する（関連記事）。MS02-039のパッチ，およびMS020-039のパッチを含むMS02-061のパッチあるいはSQL Server 2000 SP3を適用しているシステムには感染しない。

　また，ワームが感染を試みるためにアクセスするポートはUDP 1434番だけなので，このポートをファイアウオールなどで遮断していれば，外部から感染させられることはない。

　加えて，ワームは感染を広げるだけで，それ以外の被害はもたらさない。ワームはランダムに選択したIPアドレスのマシンにアクセスして，感染を試みるだけである。しかしながら，このために発生するトラフィックにより，ネットワークの帯域が消費され，一部のネットワークでは通信障害が発生している。加えて，今回のワームをベースにした，悪質な動作をする同様のワームが出現する可能性は十分にある。

　これ以上感染を広げないために，SQL Server 2000マシンのセキュリティ・ホールをふさぐとともに，ワームが使用するポートを早急に遮断しなければならない。また，自組織のSQL Serverマシンが感染していないかどうか，早急に確認する必要がある。感染マシンからはUDP 1434番に向けた大量のトラフィックが発生しているはずなので，すぐに分かるはずだ。

　加えて，自組織内の感染マシンが外部ネットワークに迷惑をかけないように，egress（出方向）フィルタリングを施す必要がある。つまり，ファイアウオールやルーターにおいて，UDP 1434番の内向きおよび外向きのいずれについても通信を許可しない設定にする。

　なお，「MS02-039」以外にも，SQL Serverのセキュリティ・ホールは複数報告されている。米CERT/CCなどは，「SQL Serverのセキュリティ・ホールをすべてふさいでおくこと」，「不要なSQL Serverは停止させておくこと」，「SQL Serverが使用するポート（TCPおよびUDPの1433，1434）をふさいでおくこと」――を強く勧めている。

　セキュリティ組織やセキュリティ・ベンダー，マイクロソフトなどは今回のワームについて情報を公開している。今後情報が更新される可能性もある。詳細についてはそれらの最新情報を参照してほしい。

◎参考文献
◆新種ワーム「MS-SQL ワーム」に関する情報（IPA）
◆Microsoft SQL Sapphire Worm Analysis（eEye Digital Security，英語情報）
◆SQL Server を標的とした SQL Slammer ワームに関する情報（マイクロソフト）
◆「（MS02-039）Buffer Overruns in SQL Server 2000 Resolution Service Could Enable Code Executionの脆弱性」（マイクロソフト）
◆SQL Server 2000 Service Pack 3 日本語版（マイクロソフト）
◆CA-2003-04 MS-SQL Server Worm（CERT/CC，英語情報）
◆W32.SQLExp.Worm（シマンテック）
◆DDOS_SQLP1434.A（トレンドマイクロ）
◆W32/SQLSlammer（日本ネットワークアソシエイツ）