• Microsoft SQL Server 2000 SP2まで
• Microsoft SQL Server 2000 Desktop Engine (MSDE 2000) SP2まで

MSDE 2000 はアプリケーションの組込みデータベースとして、クライアントマシンにインストールされている場合もありますので、サーバマシンだけでなくクライアントマシンについても確認してください。
Code Red ワームの時にはファイアウォールで守られてるはずの内部 LAN で感染が起こり LAN が麻痺した事例もありましたので注意してください。

現在開いている 1434番 UDP ポートを塞ぐ

境界ルーターや ホストベースのパケットフィルタリング機能 によって、1434/udpを遮断する必要があります。
また、ネットワーク社会の一員として、1434/udp の外向きも遮断すること (egress （出方向）フィルタリング) をお勧めします。

SQL Server 2000 に修正プログラム（パッチ）を適用する
あるいは最新のSP3 にバージョンアップする

その適用方法については、マイクロソフト社のサイトで確認してください。

• http://www.microsoft.com/japan/technet/security/bulletin/ms02-061.asp
  (MS02-061 の修正プログラムには 今回の問題 MS02-039 の対策を含みます)
• http://www.microsoft.com/japan/technet/security/news/sql2000sp3.asp
  修正プログラムの適用後必ず、コンピュータを再起動してください。

このワームは、1434番 UDP ポートを用いて、下記の脆弱性を攻略し、MS SQL サーバーを運用しているサーバーを対象に攻撃します。

MS02-039 (Q323875) (2002/7/17) (PreSP3)
「SQL Server 2000 解決サービスのバッファのオーバーランにより、コードが実行される」
http://www.microsoft.com/japan/technet/security/bulletin/MS02-039.asp
SQL Server 解決サービスのバッファ オーバーラン：CVE-CAN-2002-0649

また、このワームは、一般的なワームと同じようにファイル形態で保存され感染するのではなく、「Code Redワーム」と同様にメモリ上に常駐する形態で感染するため、通常のワクチンでは対処できません。

W32/SQLSlammer worm を駆除するためには、マイクロソフトの下記のページから配布されている修正プログラムをダウンロードし、適用する必要があります。：

SQL Server および MSDE を標的とした SQL Slammer ワームに関する情報
http://www.microsoft.com/japan/technet/security/virus/sqlslam.asp

ワクチンソフトウェアベンダー提供の情報(日本語)：

• アンラボ：(SQL_Overflow)
  http://japan.ahnlab.com/virusinfo/view.asp?seq=329
• コンピュータアソシエイツ：(W32/SQLSlammer)
  http://www.caj.co.jp/virusinfo/2003/win32_sqlslammer.htm
• シマンテック：(W32.SQLExp.Worm)
  http://www.symantec.com/region/jp/sarcj/data/w/w32.sqlexp.worm.html
• ソフォス：(W32/SQLSlam-A)
  http://www.sophos.co.jp/virusinfo/analyses/w32sqlslama.html
• トレンドマイクロ：(WORM_SQLP1434.A)
  http:http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SQLP1434.A
• 日本エフセキュア：(Sapphire)
  http://www.f-secure.co.jp/v-descs/v-descs3/sapphire.htm
• 日本ネットワークアソシエイツ：(W32/SQLSlammer)
  http://www.nai.com/japan/virusinfo/virS.asp?v=W32/SQLSlammer

CSIRT からの情報：

• JPCERT/CC JPCERT-AT-2003-0001：UDP 1434番ポートへのスキャンの増加に関する注意喚起
  http://www.jpcert.or.jp/at/2003/at030001.txt
• CERT® Advisory CA-2003-04 MS-SQL Server Worm：
  http://www.cert.org/advisories/CA-2003-04.html
• AusCERT security bulletins：
  http://www.auscert.org.au/render.html?it=2716
• http://www.auscert.org.au/render.html?it=2717
• http://www.auscert.org.au/render.html?it=2718
• http://www.auscert.org.au/render.html?it=2719

ネットワーク機器ベンダーからの情報：

• Ciscoルーターでの推奨フィルタリング設定 (MS SQL Wormの沈静方法)
  http://www.cisco.com/warp/public/707/cisco-sn-20030125-worm.shtml
• YAMAHA：Microsoft SQL Slammer Wormに関する公開情報
  http://www.rtpro.yamaha.co.jp/RT/FAQ/TOPIC/SQL-Slammer.html
• Extreame Networks：Microsoft SQL Denial of Service Worm Notification
  http://www.extremenetworks.com/denialNotice.asp

その他の情報：

• SQL Server および MSDE を標的とした SQL Slammer ワームに関する情報 - よくある質問と回答
  http://www.microsoft.com/japan/technet/security/virus/sqlslamfaq.asp
• SQL Server 2000 SQL Scan ツール
  http://www.microsoft.com/japan/technet/security/tools/tools/sqlscan.asp
• hp OpenView製品におけるSlammer/SQL Expワームの感染について
  http://www.jpn.hp.com/openview/support/fy03/030127.html
• egress （出方向）フィルタリングについて：
  RFC 2827 BCP： 38
  ネットワークイングレスフィルタリング： IP ソース アドレスを偽ったサービス 妨害攻撃をくじく
  (Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing)

ウイルス対策のトップページはこちらをご覧ください。