-----BEGIN PGP SIGNED MESSAGE-----

各位

                                                  JPCERT-AT-2003-0001
                                                            JPCERT/CC
                                                           2003-01-27

                  <<< JPCERT/CC Alert 2003-01-27 >>>

          UDP 1434番ポートへのスキャンの増加に関する注意喚起

             Increase in UDP Port 1434 scanning activity

             http://www.jpcert.or.jp/at/2003/at030001.txt

I. 概要

  JPCERT/CC では、UDP 1434番ポート (ms-sql-m) への大量のスキャンが広範
囲に渡って行なわれているとのインシデント報告を受け付けています。これら
のスキャンは、Microsoft SQL Server 2000 の既知の脆弱性を使って伝播する
ワームの感染の試みである可能性があります。また、これらの感染の試みがネッ
トワークの輻輳を生み、結果としてサービス運用妨害 (DoS) 攻撃につながる
可能性があります。


II. 対象

  2002年 7月に Microsoft が公開した Microsoft SQL Server 2000 の修正プ
ログラムが適用されていないシステムは、侵入やワームによる感染などの被害
を受ける可能性があります。詳細は以下の URL で示したページをご参照くだ
さい。

    CERT Advisory CA-2003-04
    MS-SQL Server Worm
    http://www.cert.org/advisories/CA-2003-04.html

    AusCERT Update AU-2003.002
    "Slammer" Worm Causing Wide Spread DDoS Effect
    http://www.auscert.org.au/render.html?it=2716

    マイクロソフト セキュリティ情報
    SQL Server および MSDE を標的とした SQL Slammer ワームに関する情報
    http://www.microsoft.com/japan/technet/security/virus/sqlslam.asp

    情報処理振興事業協会セキュリティセンター(IPA/ISEC)
    新種ワーム「MS-SQL ワーム」に関する情報
    http://www.ipa.go.jp/security/ciadr/vul/20030126ms-sql-worm.html

    Internet Security Systems セキュリティ アラート
    Microsoft SQL Slammer Worm の蔓延
    http://www.isskk.co.jp/support/techinfo/general/X-ForceslammerWorm.html

    F-Secure Computer Virus Information Pages: Sapphire
    http://www.f-secure.com/v-descs/mssqlm.shtml


III. 予防と対策

  Microsoft SQL Server 2000 への侵入やワームの感染を防ぐために、
Microsoft が提供している修正プログラムを適用してください。詳細について
は以下の URL で示したページをご参照ください。また、SQL サービスを使用
していない場合は、Microsoft SQL Server 2000 を停止することをお勧めしま
す。

    マイクロソフト セキュリティ情報
    SQL Server および MSDE を標的とした SQL Slammer ワームに関する情報
    http://www.microsoft.com/japan/technet/security/virus/sqlslam.asp

    マイクロソフト セキュリティ情報
    SQL Server 2000 解決サービスのバッファのオーバーランにより、コードが実行される (Q323875) (MS02-039)
    http://www.microsoft.com/japan/technet/security/bulletin/MS02-039.asp

    CERT Advisory CA-2002-22
    Multiple Vulnerabilities in Microsoft SQL Server
    http://www.cert.org/advisories/CA-2002-22.html

  パケットフィルタリング機能などを用いて、外部から内部の UDP 1434番ポー
ト宛の不要なパケットを制限することもご検討ください。更に、ワームに感染
してしまった場合の二次被害を防ぐために、内部から外部の UDP 1434番ポー
ト宛のパケットを制限することも併せてご検討ください。

  今回のワームについては、侵入に成功したホストのメモリのみに感染するの
で、システムを再起動することでワーム本体を取り除くことができます。しか
しながら、一度ワームに感染したホストは修正プログラムを適用しない限り、
再びワームに感染する可能性があります。また、より深刻な被害を生む亜種が
生まれる可能性もあります。

  したがって、抜本的な解決法としては、Microsoft が提供する修正プログラ
ムを適用して Microsoft SQL Server 2000 の脆弱性を修復することが強く推
奨されています。


  なお、今回のワームによる感染の試みは、1/26(日) 現在、減少傾向にある
ようですが、今後も引続き、不審なアクセスの監視を継続されるようお勧めし
ます。今回の件につきまして当方まで提供いただける情報がございましたら、
ご連絡ください。

======================================================================
コンピュータ緊急対応センター (JPCERT/CC)
http://www.jpcert.or.jp/

-----BEGIN PGP SIGNATURE-----
Version: 2.6.3ia
Charset: noconv

iQCVAwUBPvbT9Yx1ay4slNTtAQFaWQP7BdG1CvywDtALxOLlxUFaG/Grhlw8Ztj/
0RDaqcRmbZKC205Ta9MOwCew7mTWi07+FHWKptZvdkuOdRc3/wviO4v/PTeBNzls
pa2awFS9QaWZc3j3OIPDgHVVOUz+cqBWuBgWplBf9KLDMH5txVDDz9pc59olClKu
UaLYjrJKxZw=
=C4GC
-----END PGP SIGNATURE-----