UDP 1434番ポートへのスキャンの増加に関する注意喚起
最終更新: 2003-01-27
各位
JPCERT-AT-2003-0001
JPCERT/CC
2003-01-27
<<< JPCERT/CC Alert 2003-01-27 >>>
UDP 1434番ポートへのスキャンの増加に関する注意喚起
Increase in UDP Port 1434 scanning activity
http://www.jpcert.or.jp/at/2003/at030001.txt
I. 概要
JPCERT/CC では、UDP 1434番ポート (ms-sql-m) への大量のスキャンが広範
囲に渡って行なわれているとのインシデント報告を受け付けています。これら
のスキャンは、Microsoft SQL Server 2000 の既知の脆弱性を使って伝播する
ワームの感染の試みである可能性があります。また、これらの感染の試みがネッ
トワークの輻輳を生み、結果としてサービス運用妨害 (DoS) 攻撃につながる
可能性があります。
II. 対象
2002年 7月に Microsoft が公開した Microsoft SQL Server 2000 の修正プ
ログラムが適用されていないシステムは、侵入やワームによる感染などの被害
を受ける可能性があります。詳細は以下の URL で示したページをご参照くだ
さい。
CERT Advisory CA-2003-04
MS-SQL Server Worm
http://www.cert.org/advisories/CA-2003-04.html
AusCERT Update AU-2003.002
"Slammer" Worm Causing Wide Spread DDoS Effect
http://www.auscert.org.au/render.html?it=2716
マイクロソフト セキュリティ情報
SQL Server および MSDE を標的とした SQL Slammer ワームに関する情報
http://www.microsoft.com/japan/technet/security/virus/sqlslam.asp
情報処理振興事業協会セキュリティセンター(IPA/ISEC)
新種ワーム「MS-SQL ワーム」に関する情報
http://www.ipa.go.jp/security/ciadr/vul/20030126ms-sql-worm.html
Internet Security Systems セキュリティ アラート
Microsoft SQL Slammer Worm の蔓延
http://www.isskk.co.jp/support/techinfo/general/X-ForceslammerWorm.html
F-Secure Computer Virus Information Pages: Sapphire
http://www.f-secure.com/v-descs/mssqlm.shtml
III. 予防と対策
Microsoft SQL Server 2000 への侵入やワームの感染を防ぐために、
Microsoft が提供している修正プログラムを適用してください。詳細について
は以下の URL で示したページをご参照ください。また、SQL サービスを使用
していない場合は、Microsoft SQL Server 2000 を停止することをお勧めしま
す。
マイクロソフト セキュリティ情報
SQL Server および MSDE を標的とした SQL Slammer ワームに関する情報
http://www.microsoft.com/japan/technet/security/virus/sqlslam.asp
マイクロソフト セキュリティ情報
SQL Server 2000 解決サービスのバッファのオーバーランにより、コードが実行される (Q323875) (MS02-039)
http://www.microsoft.com/japan/technet/security/bulletin/MS02-039.asp
CERT Advisory CA-2002-22
Multiple Vulnerabilities in Microsoft SQL Server
http://www.cert.org/advisories/CA-2002-22.html
パケットフィルタリング機能などを用いて、外部から内部の UDP 1434番ポー
ト宛の不要なパケットを制限することもご検討ください。更に、ワームに感染
してしまった場合の二次被害を防ぐために、内部から外部の UDP 1434番ポー
ト宛のパケットを制限することも併せてご検討ください。
今回のワームについては、侵入に成功したホストのメモリのみに感染するの
で、システムを再起動することでワーム本体を取り除くことができます。しか
しながら、一度ワームに感染したホストは修正プログラムを適用しない限り、
再びワームに感染する可能性があります。また、より深刻な被害を生む亜種が
生まれる可能性もあります。
したがって、抜本的な解決法としては、Microsoft が提供する修正プログラ
ムを適用して Microsoft SQL Server 2000 の脆弱性を修復することが強く推
奨されています。
なお、今回のワームによる感染の試みは、1/26(日) 現在、減少傾向にある
ようですが、今後も引続き、不審なアクセスの監視を継続されるようお勧めし
ます。今回の件につきまして当方まで提供いただける情報がございましたら、
ご連絡ください。
======================================================================
コンピュータ緊急対応センター (JPCERT/CC)
http://www.jpcert.or.jp/
Topへ