Information-technology Promotion Agency, Japan
本文へ
 IPA

トップ|電子申請|お問い合わせ|サイトマップ
独立行政法人 情報処理推進機構






セキュリティセンター 誰もが「安心」してコンピュータを利用できる環境を構築するために、情報セキュリティ対策の強化・整備を推進します。







English



緊急対策情報



届出


届出ウイルス一覧




ウイルスの届出




不正アクセスの届出




脆弱性関連情報の届出





情報セキュリティ対策


ウイルス対策




新種ウイルス情報




不正アクセス対策




脆弱性関連情報の取扱い




読者層別 対策実践情報





暗号技術


CRYPTREC





セキュリティ評価・認証


JISEC





セミナー・イベント



資料・報告書等


調査・研究報告書




開発成果紹介




セキュリティ関連RFC




PKI関連技術情報





公募



IPA/ISEC PGP公開鍵



サポート情報


ウイルスデータベース




用語集




FAQ(よくある質問)




セキュリティ関連リンク





IPAセキュリティセンターについて




IPAトップ>セキュリティセンター>ウイルス対策>記事


新種ワーム「W32/SQLSlammer ワーム」に関する情報


最終更新日:2003年 1月 31日
更新履歴


2003年 1月30日17:00現在、IPAには、W32/SQLSlammer ワームに関する届出が6件寄せられています。

2003年 1月26日
情報処理推進機構
セキュリティセンター(IPA/ISEC)

マイクロソフト社の SQL Server 2000 の脆弱点を攻略する新種ワームが、2003年 1月25日に発見され、その伝搬が拡大しています。(「W32/SQLSlammer」と呼ばれているほか、「Sapphire」とも呼ばれています。)2003年 1月25日から、本ワームの影響と思われるトラフィックの急増とシステムが繋がりにくくなる現象が、世界各地で報告されています。IPA/ISECでも、1月25日14:30頃から、1434/udpの急激なトラフィック増加を観測しました。
マイクロソフト社からの情報: SQL Server および MSDE を標的とした SQL Slammer ワームに関する情報
http://www.microsoft.com/japan/technet/security/virus/sqlslam.asp



対象

Microsoft SQL Server 2000 SP2まで
Microsoft SQL Server 2000 Desktop Engine (MSDE 2000) SP2まで

(注意)
MSDE 2000 はアプリケーションの組込みデータベースとして、クライアントマシンにインストールされている場合もありますので、サーバマシンだけでなくクライアントマシンについても確認してください。
Code Red ワームの時にはファイアウォールで守られてるはずの内部 LAN で感染が起こり LAN が麻痺した事例もありましたので注意してください。




予防策

現在開いている 1434番 UDP ポートを塞ぐ
境界ルーターや ホストベースのパケットフィルタリング機能 によって、1434/udp を遮断する必要があります。
また、ネットワーク社会の一員として、1434/udp の外向きも遮断すること (egress (出方向)フィルタリング) をお勧めします。

SQL Server 2000 に修正プログラム(パッチ)を適用する
あるいは最新のSP3 にバージョンアップする
その適用方法については、マイクロソフト社のサイトで確認してください。

http://www.microsoft.com/japan/technet/security/bulletin/ms02-061.asp
(MS02-061 の修正プログラムには 今回の問題 MS02-039 の対策を含みます)

http://www.microsoft.com/japan/technet/security/news/sql2000sp3.asp
修正プログラムの適用後必ず、コンピュータを再起動してください。




概要

このワームは、1434番 UDP ポートを用いて、下記の脆弱性を攻略し、MS SQL サーバーを運用しているサーバーを対象に攻撃します。

MS02-039 (Q323875) (2002/7/17) (PreSP3)
「SQL Server 2000 解決サービスのバッファのオーバーランにより、コードが実行される」
http://www.microsoft.com/japan/technet/security/bulletin/MS02-039.asp
SQL Server 解決サービスのバッファ オーバーラン:CVE-CAN-2002-0649

また、このワームは、一般的なワームと同じようにファイル形態で保存され感染するのではなく、「Code Redワーム」と同様にメモリ上に常駐する形態で感染するため、通常のワクチンでは対処できません。




修復方法

W32/SQLSlammer worm を駆除するためには、マイクロソフトの下記のページから配布されている修正プログラムをダウンロードし、適用する必要があります。:
SQL Server および MSDE を標的とした SQL Slammer ワームに関する情報
http://www.microsoft.com/japan/technet/security/virus/sqlslam.asp




参考情報

ワクチンソフトウェアベンダー提供の情報(日本語):
アンラボ:(SQL_Overflow)
http://japan.ahnlab.com/virusinfo/view.asp?seq=329
コンピュータアソシエイツ:(W32/SQLSlammer)
http://www.caj.co.jp/virusinfo/2003/win32_sqlslammer.htm
シマンテック:(W32.SQLExp.Worm)
http://www.symantec.com/region/jp/sarcj/data/w/w32.sqlexp.worm.html
ソフォス:(W32/SQLSlam-A)
http://www.sophos.co.jp/virusinfo/analyses/w32sqlslama.html
トレンドマイクロ:(WORM_SQLP1434.A)
http:http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SQLP1434.A
日本エフセキュア:(Sapphire)
http://www.f-secure.co.jp/v-descs/v-descs3/sapphire.htm
日本ネットワークアソシエイツ:(W32/SQLSlammer)
http://www.nai.com/japan/virusinfo/virS.asp?v=W32/SQLSlammer

CSIRT からの情報:
JPCERT/CC JPCERT-AT-2003-0001:UDP 1434番ポートへのスキャンの増加に関する注意喚起
http://www.jpcert.or.jp/at/2003/at030001.txt
CERT® Advisory CA-2003-04 MS-SQL Server Worm:
http://www.cert.org/advisories/CA-2003-04.html
AusCERT security bulletins:
http://www.auscert.org.au/render.html?it=2716
http://www.auscert.org.au/render.html?it=2717
http://www.auscert.org.au/render.html?it=2718
http://www.auscert.org.au/render.html?it=2719

ネットワーク機器ベンダーからの情報:
Ciscoルーターでの推奨フィルタリング設定 (MS SQL Wormの沈静方法)
http://www.cisco.com/warp/public/707/cisco-sn-20030125-worm.shtml
YAMAHA:Microsoft SQL Slammer Wormに関する公開情報
http://www.rtpro.yamaha.co.jp/RT/FAQ/TOPIC/SQL-Slammer.html Extreame Networks:Microsoft SQL Denial of Service Worm Notification
http://www.extremenetworks.com/denialNotice.asp

その他の情報:
SQL Server および MSDE を標的とした SQL Slammer ワームに関する情報 - よくある質問と回答
http://www.microsoft.com/japan/technet/security/virus/sqlslamfaq.asp
SQL Server 2000 SQL Scan ツール
http://www.microsoft.com/japan/technet/security/tools/tools/sqlscan.asp
hp OpenView製品におけるSlammer/SQL Expワームの感染について
http://www.jpn.hp.com/openview/support/fy03/030127.html

egress (出方向)フィルタリングについて:
RFC 2827 BCP: 38
ネットワークイングレスフィルタリング: IP ソース アドレスを偽ったサービス 妨害攻撃をくじく
(Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing)




更新履歴

2003年 1月26日 掲載
2003年 1月26日 リンク追加
2003年 1月27日 リンク変更、届出件数を追記
2003年 1月28日 リンク追加、修正プログラム情報を修正(MS02-061)
2003年 1月31日 リンク追加、ホストベースのパケットフィルタリング機能情報追加、届出件数を更新、名称を「MS-SQL」から「W32/SQLSlammer」に変更。

ウイルス対策のトップページこちらをご覧ください。





ご利用条件   プライバシーポリシー


Copyright(c) Information-technology Promotion Agency, Japan. All rights reserved 2005