SQL Serverスキャンで発生するスパイクの原因で最近発見されたバッファオーバーフローの問題

◆概要：
　TCPポート1433に対するスキャンのいくつかで最近問題になっているスパイクが、マイクロソフト社のSQL Server 7.0と2000に含まれている複数の拡張ストアドプロシージャの中で、新しく報告されているリモートからのバッファオーバーフロー問題に関連している可能性が出てきた（ID# 108722, April 18, 2002）。

　2002年5月1日以来、スキャン数が異常なほど高くなっており、ワームによる攻撃や脆弱性の利用が行われた可能性が高いことを示している。Dshield.orgによると、2002年5月以来ポート1433のスキャンで101,358件が報告されている。スキャンは最初に134.184.33.72（登録はベルギー）と193.252.2.86（登録はフランス）のIPアドレスから行われていた（ID# 109069, May 6, 2002）。

　スパイクが発生した理由については現時点ではっきりしないが、ある団体がSANS Instituteに提供した情報は、バッファオーバーフローバグを使ったクラック攻撃が2度発生したことを示している。残念ながら、攻撃の詳細が明らかにされていない。

◆情報ソース：
・ DShield.org ( http://www.dshield.org/port_report.php?port=1433 ), May 06, 2002
・ SQLSecurity.com ( http://www.sqlsecurity.com/checklist.asp ), May 06, 2002
・ iDEFENSE Intelligence Operations (The SANS Institute, sans@sans.org ), May 16, 2002

◆分析：
　（iDEFENSE 米国）これはもちろん注意を要する問題ではあるが、マイクロソフト社がこの問題に関する勧告を発表した直後にそれを利用した問題が発生したこと自体は驚くことではない。この問題を利用した攻撃が拡大しているという報告はまだ上がってはいないが、それも時間の問題と思われる。SQL Serverで管理者が管理者アカウントで設定したデフォルトのパスワードを変更できない問題などはあまり知られていないが、こういった基本的なセキュリティ問題についてユーザーはある程度の知識を取得しておく必要がある。SQL Serverは、デフォルトでは管理者アカウントにパスワードを設定していない。

◆検知方法：
　SQL Server 7.0と2000が攻撃の対象となり得る。

◆暫定処置：
　攻撃を未然に防ぐ助けとなる全体を網羅したチェックリストは、
http://www.sqlsecurity.com/checklist.asp から入手可能。

　さらに、マイクロソフト社ではSQL Server 7.0 and 2000を含む多くのマイクロソフト製品を対象に脆弱性とホットフィックスの欠如をスキャンできるベースラインセキュリティ分析アナライザーツールを発表している（ID# 108549, April 9, 2002）。このツールは、
http://download.microsoft.com/download/win2000platform/Install/1.0/NT5XP/EN-US/mbsasetup.msi から入手可能。

◆ベンダー情報：
　SQL Server 7.0用のパッチは、
http://support.microsoft.com/default.aspx?scid=kb;en-us;Q318268& から入手可能。このパッチはSQL Server 7.0 Service Pack 3を適応しているシステムにインストールすることができる。SP4にもこのパッチが含まれる予定。

　SQL Server 2000用のパッチは、
http://support.microsoft.com/default.aspx?scid=kb;en-us;Q316333& から入手可能。このパッチはSQL Server 2000 SP2を適応しているシステムにインストールすることができる。SP3にもこのパッチが含まれる予定。

※この情報はアイ・ディフェンス・ジャパン
　（ http://www.idefense.co.jp/ ）より提供いただいております。
　アイディフェンス社の iAlert サービスについて
　 http://shop.vagabond.co.jp/p-alt01.shtml
　情報の内容は以下の時点におけるものです。
　【13:56 GMT、05、17、2002】