セキュリティ組織の米SANS Instituteなどは米国時間1月27日,データベース・サーバー・ソフト「MySQL」を稼働しているWindowsマシンに感染を広げるボット(ワーム)を警告した(関連記事)。MySQLの管理者(root)アカウントに弱いパスワードを設定している場合に感染する。感染すると,マシンは攻撃者に乗っ取られる。対策は「推測しにくいパスワードに変更すること」など。
米Symantecによると,1月28日時点で4000台以上が同ボットに感染しているという。現在も感染は拡大している模様。MySQLを動作させているWindowsマシンの管理者は,早急に対応したい。なお,今回のボットが動作するのはWindowsマシンのみ。MySQLを稼働させていても,UNIXやLinuxマシンには感染しない。
今回報告されたボットは,「MySQL Bot」や「Spybot.IVQ」などと呼ばれている。ボットとは,感染パソコンを悪用することを主目的とした悪質なプログラムのこと(関連記事)。自動的に感染を広げるボットは,ワームやウイルスに分類される場合がある。実際,今回のボットは「MySQL UDF Worm」「UDF Worm」とも呼ばれる。MySQLのUDF(User Defined Function)機能を使うために,この名前が付いている。
今回のボットの感染過程は次の通り。まず,ランダムに選択したIPアドレスのTCP 3306番ポートへパケットを送信して,感染可能なマシンを探す。デフォルトでは,MySQLはTCP 3306番で接続を待ち受ける。MySQLを稼働しているマシンを見つけると,MySQLに管理者(root)としてログインしようとする。このとき,パスワードなし(null)あるいは,ボット自身が持っているパスワード・リストを使って,rootのパスワードを破ろうとする。パスワードを破れたら,UDFを使ってボット本体を対象マシン上で稼働させる。この時点で,ボットに感染したことになる。
感染したボットは,特定のIRCサーバーのTCPポート5002および5003番へ接続しようとする。このIRCサーバーはダイナミックDNSを利用しているので,IPアドレスではフィルタリングできない。接続に成功すると,攻撃者からの“命令”などを待ち受けて,その命令に従って動作する。つまりボットを埋め込まれると,そのマシンは攻撃者に事実上乗っ取られることになる。例えばマシン中の情報を盗まれるだけではなく,DDoS(分散サービス妨害)攻撃やスパム送信などの踏み台にもされる。
今回のボットは,セキュリティ・ホールを悪用して侵入するわけではない。パスワードを破って侵入しようとする。このため,推測できないような強固なパスワードを設定することが対策となる。US-CERTの情報によると,MySQLのリリース 4.1.5 以前は,インストール時に管理者のパスワード変更を要求しないので,弱いパスワード(あるいはパスワードなし)が設定されている場合があるという。要注意だ。
ルーターやファイアウオールで,TCP 3306番(インバウンド)やTCP 5002/5003番(アウトバウンド)をふさぐことも回避策の一つ。ローカル・ホストあるいは信頼できるサイト以外からは管理者アカウントでアクセスできないようにすることも重要だ。
◎参考資料
◆MySQL Bot(SANS Insititute)
◆MySQL UDF Worm(US-CERT)
◆Security Alert 01/27/2005(MySQL AB)
◆W32.Spybot.IVQ(Symantec)
(勝村 幸博=IT Pro)
