TCP 1433番ポートへのスキャンの増加に関する注意喚起
最終更新: 2002-05-24
各位
JPCERT-AT-2002-0002
JPCERT/CC
2002-05-24
<<< JPCERT/CC Alert 2002-05-24 >>>
TCP 1433番ポートへのスキャンの増加に関する注意喚起
Increase in TCP Port 1433 scanning activity
http://www.jpcert.or.jp/at/2002/at020002.txt
I. 概要
JPCERT/CC では、TCP 1433番ポート (ms-sql-s) への大量のスキャンが広範
囲に渡って行なわれているとのインシデント報告を受け付けています。これら
のスキャンは、Microsoft SQL Server の既知の弱点を使って伝播するワーム
の感染の試みである可能性があります。
II. 対象
Microsoft SQL Server の管理用アカウント sa のパスワードが未設定であ
るシステムには、侵入やワームによる感染などの被害を受ける可能性がありま
す。また、Microsoft SQL Server をインストールしていなくても、製品の一
部として Microsoft SQL Server のコンポーネントが含まれている場合もある
ことにご注意ください。詳細は以下の URL で示したページをご参照ください。
SQL Server を標的とした SQLSPIDA ワームに関する情報
http://www.microsoft.com/japan/technet/security/virus/sqlspida.asp
Microsoft SQL Server がインストールされているかどうかを調べる方法につ
いては、CERT/CC Vulnerability Note VU#635463 にも記述があります。
CERT/CC Vulnerability Note VU#635463
Microsoft SQL Server and Microsoft Data Engine (MSDE) ship with a null default password
http://www.kb.cert.org/vuls/id/635463
III. 予防と対策
Microsoft SQL Server への侵入を防ぐために、管理用アカウント sa に適
切なパスワードを設定してください。また、パケットフィルタリング機能など
を用いて、外部から内部の TCP 1433番ポート宛の不要なパケットを制限する
こともご検討ください。更に、ワームに感染してしまった場合の二次被害を防
ぐために、内部から外部の TCP 1433番ポート宛のパケットを制限することも
併せてご検討ください。
ワームに感染しているかどうかを調べる方法とワームに感染した場合の対応
策については、以下の URL で示したページをご参照ください。
CERT Incident Note IN-2002-04
Exploitation of Vulnerabilities in Microsoft SQL Server
http://www.cert.org/incident_notes/IN-2002-04.html
PRB: Unsecured SQL Server with Blank (NULL) SA Password Leaves Vulnerability to a Worm (Q313418)
http://support.microsoft.com/default.aspx?scid=kb;EN-US;Q313418
Microsoft SQL Spida ワームの蔓延
http://www.isskk.co.jp/support/techinfo/general/SQL_SpidaWorm_xforce.html
なお、Microsoft より Microsoft SQL Server に存在する複数の問題を解決
するための修正プログラムが提供されています。Microsoft SQL Server のセ
キュリティを強化するためにこれらの修正プログラムを適用することを強くお
勧めいたします。
今回の件につきまして当方まで提供いただける情報がございましたら、ご連
絡ください。
======================================================================
コンピュータ緊急対応センター (JPCERT/CC)
http://www.jpcert.or.jp/
Topへ