要対処!Microsoft SQL Server 2000 ねらうワーム "Slammer"(更新情報) | ScanNetSecurity
2024.05.03(金)

要対処!Microsoft SQL Server 2000 ねらうワーム "Slammer"(更新情報)

 先日、広範囲に渡る被害が報告されたワーム "Slammer" 。Microsoft SQL Server 2000 の既知の脆弱性(MS02-039)をねらうこのワームに対し、ベンダ各社が無償駆除ツールの提供などにより、対応をすすめている。今日にかけて、いくつかの情報更新が行われた。

脆弱性と脅威 脅威動向
facebookLINE
 先日、広範囲に渡る被害が報告されたワーム "Slammer" 。Microsoft SQL Server 2000 の既知の脆弱性(MS02-039)をねらうこのワームに対し、ベンダ各社が無償駆除ツールの提供などにより、対応をすすめている。今日にかけて、いくつかの情報更新が行われた。

 このワームは UDP1434ポートを使用して、Microsoft SQL Server 2000に対する攻撃を実施する。また、SQLの技術を利用するMicrosoft Desktop Engine(MSDE) 2000にも同様の脆弱性があるため、同様の攻撃を実施する。成功するとそのホストに感染する。感染した後は、ランダムに新しいIPアドレスを作成し、攻撃を開始する。このワームは、ファイルの作成・コピーなどを行わず、直接メモリ上で不正コードが実行される。そのため、リブートすることで感染そのものを除去することも可能である。また、一時的な回避方法として、UDP1434ポートへのアクセスを遮断する方法がある。ただし、これらは一時的な回避、対策方法であり、脆弱性への対処をしないと、再度攻撃を受けて感染する可能性が高い。

 このワームは、大量のパケットを UDP1434 ポートに送信するため、トラフィックが急増している。



>> ベンダ各社の対応状況

▼トレンドマイクロ
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SQLP1434.A

無償駆除ツールのダウンロードURL
http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=4700

▼シマンテック
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
http://www.symantec.com/region/jp/sarcj/data/w/w32.sqlexp.worm.html

無償駆除ツールのダウンロードURL
http://www.symantec.com/region/jp/sarcj/data/w/w32.sqlexp.worm.removal.tool.html
脆弱性についての情報
http://www.symantec.com/region/jp/sarcj/security/content/2270.html

▼日本ネットワークアソシエイツ
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
http://www.nai.com/japan/virusinfo/virS.asp?v=W32/SQLSlammer.worm

無償駆除ツールのダウンロードURL
http://www.nai.com/japan/virusinfo/stinger.asp
SQLSlammerに関するストリーミングセミナー
http://www.nai.com/japan/mcafee/seminar_virusinternet.asp
ウイルス絵解き理解
http://www.nai.com/japan/virusinfo/viruscartoon.asp?ViruGazoMokujiNo=8

▼日本エフ・セキュア
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
http://www.f-secure.co.jp/v-descs/v-descs3/slammer.htm

▼インターネット セキュリティ システムズ
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
http://www.isskk.co.jp/support/techinfo/general/X-ForceslammerWorm.html

▼Sophos
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
http://www.sophos.co.jp/virusinfo/analyses/w32sqlslama.html

▼マイクロソフト
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
http://www.microsoft.com/japan/technet/security/virus/sqlslam.asp


□関連情報

MS内のサーバも「対策する時間がなく」Slammerによってダウン
http://www.securitynewsportal.com/cgi-bin/cgi-script/csNews/csNews.cgi?database=JanV%2edb&command=viewone&id=78&op=t

インターネット保安措置しなければ「処罰」
Slammer 蔓延の原因は、不法コピー製品!?
http://japanese.chosun.com/site/data/html_dir/2003/01/27/20030127000033.html

「ウイルス侵入」11の海外アドレスを確保
http://japanese.chosun.com/site/data/html_dir/2003/01/27/20030127000065.html

「インターネット事態」PL訴訟可能に
http://japanese.chosun.com/site/data/html_dir/2003/01/27/20030127000055.html

eEyeがSlammerのスキャナを無償で提供
http://www.eeye.com/html/Research/Tools/SapphireSQL.html


SQL Server のユーザーグループ、
PASSJより「SQL Slammer ワーム」特設ページ開設のお知らせ
===================================

SQL Serverユーザーグループ(PASSJ)では、今回さまざまな被害を起こした
「SQL Slammer ワーム」に関する特設ページを開設いたしました。

* 「SQL Slammer ワーム」特設ページ
http://www.sqlpassj.org/info/slammer.aspx

基本的なワーム情報だけでは現場のユーザには、不十分であると考え、「セキュリティ分科会」を中心に問題の背景や、関連する情報、考えられる問題点、修正プログラムの解析など広く、深く情報交換を行っています。それらを元に随時を更新していますので、ぜひご覧下さい。

* SQL Server に関する脆弱性、セキュリティに関してのテーマを扱う、
「セキュリティ分科会」過去ログページ
http://www.sqlpassj.org/bbs/ml_disp.aspx?forum_id=2&disp_mode=4


>> 脆弱性に関する情報

  http://www.cert.org/advisories/CA-2002-22.html
  http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS02-039ov.asp
  http://www.nextgenss.com/advisories/mssql-udp.txt
  http://www.microsoft.com/technet/security/bulletin/MS02-039.asp
  http://www.jpcert.or.jp/at/2003/at030001.txt


□参考情報

シスコ社の製品の一部にも Microsoft SQL Server 2000 が含まれているため対処が必要
Cisco Security Advisory:
Microsoft SQL Server 2000 Vulnerabilities in Cisco Products - MS02-061
http://www.cisco.com/warp/public/707/cisco-sa-20030126-ms02-061.shtml

Analysis of Sapphire SQL Worm
http://www.techie.hopto.org/sqlworm.html

http://archives.neohapsis.com/archives/ntbugtraq/2003-q1/0015.html

Retina Sapphire SQL Worm Scanner from eEye Digital Security
http://www.eeye.com/html/Research/Tools/SapphireSQL.html

SQL Sapphire Worm Analysis:
http://archives.neohapsis.com/archives/ntbugtraq/2003-q1/0015.html

Re: W32/SQLSlammer PACKET CAPTURE
http://archives.neohapsis.com/archives/ntbugtraq/2003-q1/0016.html

New MS SQL Server Worm:
http://www.st.ryukoku.ac.jp/~kjm/security/ml-archive/incidents/2003.01/msg00119.html
http://www.digitaloffense.net/worms/mssql_udp_worm/

BUGTRAQ
http://msgs.securepoint.com/cgi-bin/get/bugtraq0301/238.html


「バガボンド プレスクラブ」に会員登録されている方は、今回の記事の
 内容を会員規約にのっとった形式で、無償でご自由に転載できます。
「バガボンド プレスクラブ」ご入会は下記URLで受け付けております。
イントラネット向け転載
http://vagabond.co.jp/press_y/index.html
媒体社向け転載
http://vagabond.co.jp/press/index.html

《ScanNetSecurity》

特集

PageTop

アクセスランキング

  1. ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

    ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

  2. クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

    クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

  3. 信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

    信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

  4. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  5. 「味市春香なごみオンラインショップ」に不正アクセス、16,407件のカード情報が漏えい

    「味市春香なごみオンラインショップ」に不正アクセス、16,407件のカード情報が漏えい

  6. SECON 2024 レポート:最先端のサイバーフィジカルシステムを体感

    SECON 2024 レポート:最先端のサイバーフィジカルシステムを体感

  7. 山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

    山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

  8. 2023年「業務外利用・不正持出」前年 2 倍以上増加 ~ デジタルアーツ調査

    2023年「業務外利用・不正持出」前年 2 倍以上増加 ~ デジタルアーツ調査

  9. 「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

    「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

  10. トレーニング 6 年ぶり復活 11/9 ~ 11/15「CODE BLUE 2024」開催

    トレーニング 6 年ぶり復活 11/9 ~ 11/15「CODE BLUE 2024」開催

ランキングをもっと見る
ホーム 脆弱性と脅威 脅威動向 記事
TOP