アジア各地域でネットワーク・アクセスが不調に陥る事態が1月25日~26日にかけて発生した。韓国では全国的にサーバーに接続ができなくなり,米国でもネットワーク速度が低下するという障害が起こった。多くの専門家はワームの仕業とみている。米メディアのCNET.comの記事によれば,専門家の意見は「2001年の『Code Red』以来,最悪のワーム」だという。

 「SQL Slammer」と名づけられたこのワームは,2002年7月に検出された米Microsoftの「SQL Server」および「MSDE 2000」のセキュリティ・ホール「(MS02-039)Buffer Overruns in SQL Server 2000 Resolution Service Could Enable Code Executionの脆弱性」を悪用する。MS02-039のパッチ,およびMS020-039のパッチを含むMS02-061のパッチあるいはSQL Server 2000 SP3を適用しているシステムには感染しない。また,ワームが感染を試みるためにアクセスするポートはUDP 1434番だけなので,このポートをファイアウオールなどで遮断していれば,外部から感染させられることはない(IT Proの関連記事)。

 CNET.com社の報道による主な被害状況をまとめると,米Bank of Americaは1万3000台のATMが使用不能になり,韓国の大手ISPであるKTでは,ほぼすべての加入ユーザーがインターネットに接続できなくなった。中国では,WWWサイトの表示がフリーズしたり速度が大幅に遅くなるという影響を受けた。

 米InfoWorldの記事によると,米Matrix NetSystemsが報告した障害発生時(グリニッジ標準時間の25日午前5時30分頃)のインターネット全体にわたるパケット・ロス率は,20%に達したという。通常のパケット・ロス率は1%に満たない。

 なお韓国のソウルに拠点を置くKorean Computer Emergency Response Teamによれば,韓国では午後2時30分頃から部分的な接続不調に陥り,その後ほとんどのユーザーがインターネットにアクセスできなくなった。

 フィンランドのF-Secureは,「世界に13台あるルートDNSサーバーのうち5台が影響を受けた」と述べている。SQL Slammerは,376バイトのコードを実行すると,別のコンピュータにパケットを送り続け,感染を試みる。この行為が,「Code Redに匹敵するサービス拒否(DoS)攻撃を引き起こす」(F-Secure社)。

 米Network Associates米Trend Microなどのアンチウイルス・ベンダーはSQL Slammerの危険度を「高」と評価している。しかし,このワームはデータを破壊するものではないとの見方が強い。大量の電子メールを送りつけるタイプのワームと異なり,SQL Slammerはコンピュータのハード・ディスク装置にファイルを書き込むことはしない。ちなみに米Symantecはダメージの評価を「低」としている。

 英Messagelabsのレポートによると,SQL Slammerはメモリーに常駐するので,コンピュータを再起動すれば簡単に削除できる反面,アンチウイルス・ソフトウエアによる検出が難しいという。

 また,「SQL Slammerの繁殖力は非常に強力で,時間が経てば経つほど事態が悪化する」と,InfoWorld社の記事では警告している。また同記事によれば,全米インフラ保護センター (NIPC) が調査に乗り出すことを認めており,FBIの関係者も,「ワームのインターネット攻撃があったことを認識している。われわれは監視を行っている」と語ったという。

 なお,Microsoft社も同ワームに関する情報を掲載し,パッチを適用して対策を講じるよう呼びかけている。

◎関連記事
【緊急対策:世界規模のネット障害】原因はSQL Serverのホールか,ユーザーは対策を急げ
衝撃のネット障害,再発防止のために――SQL Serverのセキュリティ・ホールを解説する
米ネットワーク・アソシエーツがワーム「Slammer」を警告,危険度は「高」
米トレンド・マイクロがワーム「WORM_SQLP1434.A」を警告,危険度は「高」
「ますます巧妙になるワームの手口,2002年も対策を怠るな」---専門家が警告
<“SQL Serverのセキュリティ・ホール”>
またもやSQL Server関連のセキュリティ・ホール,原因はMDACコンポーネント
【今週のSecurity Check】管理者は必見!SQL Serverのセキュリティを解説する
次々見つかるSQL Serverのセキュリティ・ホールに,米CERT/CCが改めて警告
SQL Server 2000にセキュリティ・ホール,任意のコードを実行される
SQL Serverを狙うワームが流行中,デフォルト・アカウントで侵入を試みる