トレンドマイクロは1月29日,同日午後2時までに同社製品の国内ユーザーから寄せられた「SQLP1434(SQL Slammer)」ワームに関する被害報告が4件であることを明らかにした。米Trend Microなどを含めたワールドワイドでは1308件であり,そのほとんどが米国で報告されている。一般ユーザー向けのサポート・センターは土曜日,日曜日が休みであっため,被害報告のほとんどが月曜日に寄せられたという。火曜日以降はほとんど報告されていないので,現在では収束したと考えてよさそうだ。
ユーザーからの被害報告が少なかった理由として,同社では早期の情報提供が功を奏したためと考えている。同社では,1月25日深夜の時点で,Webサイトやメールで,ワームの感染拡大と対策方法を知らせている。1月26日には,マシンをリブートせずにワームを取り除けるツールを公開した。
今回のワームによる被害が拡大した理由としては,「ワーム自身のサイズが376バイトと小さく,しかもコネクション・レスのUDPを使用するために,感染スピードが速かったため」(同社 Global Product Manager for Scan Engine and Virus PatternのJohn Hermano氏)などが考えられるものの,「本当のところは分からないのが実情だ」(同社 TREND eDoctor Japan解析担当 岡本勝之氏)。「例えば,Internet Explorerの同じセキュリティ・ホールを悪用するウイルスでも,感染を拡大するものとしないものが存在する。これらは結果を見て初めて分かることで,事前に判断することはできない。今回のワームについても同様で,そのメカニズムから,なぜ感染が拡大したのかを判断することは難しい」(同氏)
どのような感染形態が多かったのかについても,現時点では不明で解析中だという。今回のワームは,SQL Server 2000を稼働しているデータベース・サーバーだけではなく,MSDE 2000を組み込んだソフトを使用しているクライアントにも感染する。ワールドワイドで,サーバーとクライアントのいずれに感染した例が多かったのか,などについては解析を進めている最中だ。国内については,被害報告中の1件が,MSDE 2000を組み込んだあるビジネス・ソフトが原因であることが確認されている。
今回のワームが最初に出現した地域がどこかについても,現時点では不明だ。「電子メールを使って感染を広げるウイルス(ワーム)ならば追跡しやすいが,今回のようなワームだと困難だ」(Hermano氏)。ワームの製作者が名乗り出ない限り,製作者はもちろん,最初に出現した地域を特定することは難しいようだ。
トレンドマイクロ製品ユーザーからの感染報告件数を見る限りでは,国内ではほとんど被害はなかったようだ。とはいえ,「米国などに比べて,日本のセキュリティ・レベルが高いとは言えない。今回のワームによる被害が少なかったからといって,『日本は大丈夫』と考えるのは早計だ。今後,別のワーム(ウイルス)が出現した際には,国内だけが被害を受けることも十分ありうる」(岡本氏)。油断は禁物である。
(勝村 幸博=IT Pro)
