SQL Server および MSDE を標的とした SQL Slammer ワームに関する情報
公開日: 2003年1月26日
トピック
はじめに 本ワームの感染が行われてしまう条件 影響を受ける恐れのある製品 本ワームへの対策 対策による影響 osql コマンドについて
はじめに
日本時間 2003 年 1 月 25 日 午後 2 時頃より Slammer ワームと呼ばれる Microsoft SQL Server 2000 および MSDE 2000 (以下 SQL Server として表記します) を対象としたウイルス感染による被害が発生しました。弊社では、このワームによる影響からお客様の環境を守るため、情報を公開いたします。(別名に W32/SQLSlammer.worm, W32.SQLExp.Worm, W32/SQLSlammer 等があります)
本ワームは SQL Server 2000 に対して、UDP 1434 ポート (SQL Server 2000 解決サービスで使用するポート) に対して UDP の攻撃パケットを送信します。攻撃を受けた SQL Server 2000 は、下の条件を満たしている場合に本ワームに "感染" し、SQL Server 2000 のプロセス内でプログラムコードが実行されてしまいます。"感染" されてしまった SQL Server 2000 のプロセスは、自らが攻撃者となり他のシステムに対して "感染" 活動を開始します。
本ワームは、"感染" 活動を行うことが目的であり、SQL Server 2000 のデータベースの書き換えや感染ファイルの作成などは行われません。しかしながら、感染活動により UDP パケットがネットワークの帯域を消費し、結果的にネットワーク全体のスループットが低下する恐れがあります。 また、感染をしてしまった SQL Server 2000 の CPU 消費が極端に上昇し、コンピュータ全体のパフォーマンスの低下も発生します。
弊社 STPP パートナーであるウイルス対策ソフトウェアベンダー各社からも、本ワームに関する情報が公開されておりますので併せてご参照ください。
インターネット セキュリティ システムズ株式会社
https://www.isskk.co.jp/support/techinfo/general/X-ForceslammerWorm.html株式会社シマンテック
https://www.symantec.co.jp/region/jp/sarcj/data/w/w32.sqlexp.worm.htmlトレンドマイクロ株式会社
https://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SQLP1434.Aマカフィー株式会社
https://www.mcafee.com/japan/security/virS2003.asp?v=W32/SQLSlammer.worm
本ワームの感染が行われてしまう条件
SQL Server が使用している UDP 1434 ポートをインターネットとの接続を行っているルータもしくはファイヤウォールで遮断していない場合
SQL Server 2000 Service Pack 3 もしくは、MS02-039 SQL Server 2000 解決サービスのバッファのオーバーランによりコードが実行される (Q323875)、または MS02-039 以降に公開された SQL Server 2000 向けセキュリティ修正プログラムを適用していない場合
影響を受ける恐れのある製品
Microsoft SQL Server 2000 Enterprise Edition
Microsoft SQL Server 2000 Standard Edition
Microsoft SQL Server 2000 Personal Edition
Microsoft SQL Server 2000 Developer Edition
Microsoft SQL Server 2000 Desktop Engine (MSDE 2000)
注意 : Microsoft SQL Server 4.2J, 6.5, 7.0 は本ワームの影響を受けません。
MSDE 2000 を既定でインストールする製品
下記の製品は、MSDE 2000 を既定でインストールします。
Microsoft Windows XP Embedded #1
Microsoft Windows XP Embedded with Service Pack 1 #1
Microsoft Server Appliance Kit 2.0 Add-On Pack #2
Microsoft Visio Enterprise Network Tools
Microsoft Project Server 2002
Microsoft Application Center 2000
#1: Microsoft Windows XP Embedded は、一般に販売されている Microsoft Windows XP とは異なる製品です。
#2: Network Attached Storage (NAS) 製品等に搭載されている Microsoft Server Appliance Kit 2.0 は、Windows 2000 および MSDE 英語版をベースにしておりますので、修正プログラムは、英語版をご利用ください。
注意 : 以前本項目に SQL Server 2000 と連携をおこなう可能性のある製品の一覧を記載しておりましたが、誤解を受ける可能性があるため、削除をいたしました。影響を受ける MSDE 2000 を既定でインストールする製品一覧に変更いたしました。
MSDE 2000 が同梱されている製品一覧は、「よくある質問と回答」の「MSDE 2000 はどのような製品に含まれますか?」をご覧ください。
本ワームへの対策
本ワームの対策は、感染の有無にかかわらず同じ対策を行うことで、感染を防ぐことが出来ます。 最新の SQL Server 2000 の累積的修正プログラム MS02-061 の適用による対策をご紹介しております。 アプリケーションへの影響等が懸念される場合は、MS02-039 のみを適用することでも対策可能です。 可能な限り、 MS02-039 の修正を含む MS02-061 または、SQL Server 2000 Service Pack 3 以降の最新のサービスパックの適用をお勧めいたします。
SQL Critical Update による対策 |
---|
マイクロソフトは、実行されているコンピュータで Slammer ワームの影響を受ける SQL Server 2000 および MSDE 2000 のインスタンスをスキャンし、影響を受けるファイルを更新する SQL Critical Update をリリースしました。
SQL Critical Update
システム要件
|
重要 : Microsoft SQL Server 2000 Service Pack 3 を適用する場合は、お客様のアプリケーションの動作に支障が無いことを十分に検証の上、適用いただきますようお願いいたします。
以下の手順では、MS02-061の修正プログラムの適用方法について解説しています。SQL Server 2000 Service Pack 3 / MSDE 2000 Service Pack 3 の適用に関しては、SQL Server 2000 SP 3 インストールに関する注意点 のページもあわせてご確認ください。
Step 1: SQL Server が動作しているかを確認する |
---|
コマンドによる確認方法
SQL Server が動作している場合、他のコンピュータから接続を受け付けるために、1434/UDP ポートが開かれています。ポートが開かれているかは、次のコマンドで確認することができます。
netstat -an
コマンドを実行すると以下のような結果が表示されます。結果に UDP 0.0.0.0:1434 と表示された行がある場合は、SQL Server が動作しています。表示の行ない場合は、ワームに感染する恐れはありません。
C:>netstat -an |
Step 2: バージョンの確認 |
---|
SQL Server が動作している場合は、本ワームの影響を受けるバージョンか確認する必要があります。 バージョンは次の方法で確認することができます。
|
Step 3: セキュリティ修正プログラムの入手 |
---|
MS02-061 を適用することで本ワームの感染を防ぐことができます。以下の手順で入手することができます。
|
Step 4: SQL Server の停止 |
---|
ワームの影響を受けないバージョンに SQL Server をアップデートするには、SQL Server を一度停止させる必要があります。ワームの影響により通常の手順で終了しない場合は、以下の手順で停止します。
|
Step 5: ネットワークの切断 |
---|
対策中の再感染を防止するために、ネットワークを以下の手順で切断します。
|
Step 6: 対策 |
---|
再度感染しないために、セキュリティ修正プログラムを以下手順で適用します。
|
Step 7: SQL Server の開始 |
---|
|
対策による影響
本体策による特別な影響はございません
osql コマンドについて
osql コマンドは、デフォルトでは以下の場所にインストールされています。
(SQL Server 2000) \Program Files\Microsoft SQL Server\80\Tools\Binn
(MSDE) \Program Files\Microsoft SQL Server\80\Tools\Binn
オプションの説明 :
-E | SQL Server に接続するための現在のユーザーを使用します。 |
-U | SQL Server に接続するためのログイン (ユーザー) を指定します。 |
-P | ログイン(ユーザー)のパスワードを指定します。 このドキュメントでは、 パスワードなしの sa を使用しているためパスワードの指定を行っておりません。 |
-S | SQL Server が動作しているインスタンス (サーバー) を指定します。 |
-Q | SQL Server に対して指定したクエリの実行を要求し、実行後に、このコマンドを終了させるオプションです。 "(ダブルコーテーション) で囲まれた部分がクエリ文字列になります。 |
osql コマンドおよび SQL Server の詳細につきましては、SQL Server に付属する Books Online、ヘルプ、製品マニュアルをご参照ください。