新種ワーム「W32/SQLSlammerワーム」の一時的回避策
最終更新日:2003年 1月 31日
このページでは、W32/SQLSlammer ワーム に対する一時的回避策としてホストベースでパケットフィルタを行う方法を説明します。
2003年 1月31日
情報処理推進機構
セキュリティセンター(IPA/ISEC)
概要
2003年 1月25日に発見された W32/SQLSlammer ワーム は、Microsoft SQL Server 2000 だけでなく、サードパーティのアプリケーションに組み込まれて利用される MSDE 2000 にも感染する場合があることが確認されています。 [1]
感染を防ぐ対策は、基本的にはマイクロソフト社の情報 [2] に従って修正プログラム又はサービスパック3の適用をすることですが、運用上の理由からこの対策をすぐに取れない場合があります。また、MSDE 2000 の場合には、これを含むサードパーティアプリケーションのベンダーが提供するサービスパックを必要とする場合もあります。
修正プログラム又はサービスパックがすぐに適用できない場合の一時的回避策には、境界ルータでのパケットフィルタリング等がありますが、このページでは、Windows の機能を利用して W32/SQLSlammer ワームの感染に利用される通信 (1434/udp) を遮断する方法を紹介します。(参考: [3],[4])
注意:
このページの情報は、あくまで方法の紹介であって、参考情報として使用してください。 このページの情報に従って対策を実施して障害や損失が発生しても IPA/ISEC は一切の責任を負いません。 このページで紹介しているのは Windows NT 4.0 又は Windows 2000 の機能であるため、 技術的詳細の問合せに関しては IPA/ISEC からはお答えすることができません。
ホストベースパケットフィルタリングによる W32/SQLSlammer ワームに対する一時的回避策
W32/SQLSlammer ワームは、対象マシンの 1434 番 UDPポートへウイルスを送り込むことによって、対象マシンを感染させます。 よって1434 番 UDP ポートへの通信を遮断する(フィルタリング)ことによって、 W32/SQLSlammer ワームの侵入を防ぐことができます。(これは、あくまで対症療法であり、根本的対策のためには修正プログラム又はサービスパックの適用が必要です。)
以下では、Windows の機能を使って、対象マシン上で 1434 番 UDP ポートへの通信を遮断する以下の2つの方法を紹介します。
TCP/IP フィルタリング
「TCP/IPフィルタリング」機能は Windows NT4.0 でも使用することができます。
IPアドレスの設定等を行う「インターネットプロトコル (TCP/IP)」のプロパティから[詳細設定]-[オプション]-[TCP/IP フィルタリング] のプロパティを開いて、以下のように設定することが可能です。
この例では、UDP を NetBIOS 及び SMB 関係のポートのみ開き、 1434 番 UDP ポートは閉じています。
フィルタリングを有効にすると再起動が必要になります。
設定の選択肢はポートに関して、すべて許可又は一部許可、しかなく、接続を許可する IPアドレスを指定するホストレベルアクセス制御はできません。
注意: 必要以上にポートを閉じると一部のネットワーク機能が使えなくなる可能性があります。実際の対策では、netstat コマンド等で必要な通信ポートを調査するなどの十分な準備・計画・テストによって通信を許可するポートを決める必要があります。
IP セキュリティ
IPsec の設定を行う、「IP セキュリティ」のポリシーを用いてパケットフィルタリングをするこができます。 この機能は Windows 2000 から使用することができます。
パケットフィルタリングの観点から見ると、IP セキュリティのポリシーは「IP フィルタ一覧」と「フィルタ操作」の組から構成されます。
| IPフィルタ一覧 | フィルタ操作が対象とする通信を指定します。(プロトコル、発信元、宛て先 など) |
|---|---|
| フィルタ操作 | 対象とする通信に対する操作を指定します。(IPsec ネゴシエーションを要求する、許可、など) |
ここでは 1434/udp のみを遮断する単純な設定を紹介しますが、
より細かい設定が可能なので、接続を許す IP アドレスを指定すると言うようなホストレベルのアクセス制御を実装することもできます。
1434/udp 通信を指定するフィルタ一覧とフィルタ操作のブロックを定義
コントロールパネルから [管理ツール]-[ローカル セキュリティ ポリシー] と辿って「ローカル セキュリティ設定」開き、[ローカルコンピュータの IP セキュリティポリシー] を右クリックして[IP フィルタ一覧とフィルタ操作の管理] を選びます。
 |
任意のマシンからターゲットマシンへの 1434/udp 通信を指定するフィルタ一覧を作成
[IP フィルタ一覧の管理] タブ内で [追加] ボタンを押し、「IP フィルタ一覧」ダイアログを開き、以下の設定をします。
| 名前 | 1434/udp |
|---|---|
| 追加ウィザードを使用 | なし |
 |
[追加]ボタンを押し「フィルタのプロパティ」を開き、以下の設定をします。
| [アドレスの指定]タブ | ||
|---|---|---|
| 発信元アドレス | 任意の IP アドレス | |
| 宛先アドレス | このコンピュータの IP アドレス | |
| ミラー化 | なし | |
| [プロトコル]タブ | ||
| プロトコルの種類の選択 | UDP | |
| IP プロトコルの設定 | 任意の発信ポート | |
| 次の宛先ポート | 1434 | |
[OK]、[OK] と進んで「IP フィルタ一覧とフィルタ操作の管理」に戻ります。
「プロック」フィルタ操作を作成
[フィルタ操作の管理] タブ内で [追加ウィザードの使用] のチェックを外して、[追加] ボタンを押し、「新しいフィルタ操作のプロパテ
| [セキュリティ メソッド]タブ | |
|---|---|
| プロック | |
| [全般]タブ | |
| 名前 | ブロック |
[OK]、[閉じる] と進んで「IP フィルタ一覧とフィルタ操作の管理」を閉じます。
1434/udp 通信をブロックするポリシーを定義
[ローカルコンピュータの IP セキュリティポリシー] を右クリックして [IP セキュリティポリシーの作成] を選びます。
 |
「IP セキュリティ ポリシー ウィザード」で以下のように入力してゆきます。
| IP セキュリティポリシー名 | Slammer 撃退ポリシー |
|---|---|
| 既定の応答規則をアクティブ | なし |
| プロパティを編集 | チェック |
「Slammer 撃退ポリシーのプロパティ」で[追加ウィザードの使用] のチェックを外してから、[追加]ボタンを押して、「新しい規則のプロパティ」を開いて、以下の設定をします。
| [IP フィルタ一覧]タブ | 1434/udp を選択 |
|---|---|
| [フィルタ操作]タブ | ブロック を選択 |
 |
 |
[OK]、[閉じる] で、「Slammer 撃退ポリシー」の作成は終了です。
ポリシーを接続に割り当て
IPアドレスの設定等を行う「インターネットプロトコル (TCP/IP)」のプロパティから[詳細設定]-[オプション]-[IP セキュリティ] のプロパティを開いて、「Slammer 撃退ポリシー」を割り当てます。
参考情報
-
[1]新種ワーム「W32/SQLSlammer ワーム」に関する情報
http://www.ipa.go.jp/security/ciadr/vul/20030126ms-sql-worm.html -
[2]SQL Server および MSDE を標的とした SQL Slammer ワームに関する情報
http://www.microsoft.com/japan/technet/security/virus/sqlslam.asp -
[3]小規模サイト管理者向け セキュリティ対策マニュアル
http://www.ipa.go.jp/security/fy12/contents/crack/
soho/soho/chap2/windows2000/remote.html -
[4]Windows 2000 を用いた高度セキュリティシステム構築技術調査
http://www.ipa.go.jp/security/fy10/contents/
crack/research/windows2k/b.htm