米セキュリティ研究機関System Administration Networking and Security Institute（SANS Institute）の一部門であるInternet Storm Center（ISC）が，オープンソース・データベースMySQLを悪用してWindowsシステムに感染するボット「MySQL Bot」について，米国時間1月27日に警告を発した。感染すると，IRCサーバーに接続してシステムを外部から操作可能な状態にし，伝染可能なほかのシステムを探す。これまでに数千システムの感染を確認したという。

　ボットは，外部からの命令を受け付けて動作する悪質なプログラム（マルウエア）。IRCを使うボットの場合，感染したシステムを特定のIRCチャンネルに接続する。攻撃者がそのチャンネルにテキスト・データをコマンドとして送信すると，感染システムを操れる。

　MySQL Botは，MySQLのぜい弱性を突くのではなく，セキュリティ設定の不十分なrootアカウントを悪用する。ボット内部のパスワード一覧を使ってブルートフォース（総当たり）攻撃を仕掛け，MySQLからrootユーザーとして認証を受けることで感染する。

　感染に成功すると，「mysql」という名前のデータベースを使って「bla」というテーブルを作る（mysqlはMySQLをインストールすると必ず作成されるデータベースで，通常パスワードなどの管理用情報を保存している）。その後，blaテーブルを介して実行ファイルapp_result.dllを作り，5002番または5003番のポート経由で外部のIRCサーバーへの接続を試みる。

　「同ボットを操作するIRCサーバーのIPアドレスは，ダイナミックDNSを利用しているために変わってしまう。我々が最後に接続できた時点で，約8500システムがこうしたIRCサーバーに接続していた」（ISC）

　感染を防ぐ対策としてISCは，強力なパスワードの使用，rootアカウントの制限，ファイアウオールによる不要なポートの遮断を推奨している。

◎関連記事
■「ITマネージャが考える2005年ネットワーク・セキュリティの脅威はスパイウエア」，米WatchGuard
■2004年12月のウイルス被害状況，新たなワーム「Zafi-D」が全体の4割近くを占める
■インターネット上の新たな脅威「ボット(bot)」に気をつけろ！(上)
■「『Netsky』がダントツ，ボットも“上位”に」――トレンドマイクロの2004年ウイルス・レポート
■「2004年のウイルス被害ワースト1は『Netsky-P』，Netsky亜種が全体の41.6％」，英調査
■1万台を超えるパソコンで構成された“攻撃用ネットワーク”が確認される
■「セキュリティ最大の課題は，ユーザーの認識の低さ」，米Evans Data調査
■Wittyワーム

[発表資料へ]