JPCERT コーディネーションセンター

UDP 1434番ポートへのスキャンの増加に関する注意喚起

各位

JPCERT-AT-2003-0001
JPCERT/CC
2003-01-27

JPCERT/CC Alert 2003-01-27


UDP 1434番ポートへのスキャンの増加に関する注意喚起

Increase in UDP Port 1434 scanning activity

http://www.jpcert.or.jp/at/2003/at030001.txt

I. 概要

JPCERT/CC では、UDP 1434番ポート (ms-sql-m) への大量のスキャンが広範囲に渡って行なわれているとのインシデント報告を受け付けています。これらのスキャンは、Microsoft SQL Server 2000 の既知の脆弱性を使って伝播するワームの感染の試みである可能性があります。また、これらの感染の試みがネットワークの輻輳を生み、結果としてサービス運用妨害 (DoS) 攻撃につながる可能性があります。


II. 対象

2002年 7月に Microsoft が公開した Microsoft SQL Server 2000 の修正プログラムが適用されていないシステムは、侵入やワームによる感染などの被害を受ける可能性があります。詳細は以下の URL で示したページをご参照ください。

CERT Advisory CA-2003-04
MS-SQL Server Worm
http://www.cert.org/advisories/CA-2003-04.html

AusCERT Update AU-2003.002
"Slammer" Worm Causing Wide Spread DDoS Effect
http://www.auscert.org.au/render.html?it=2716

マイクロソフト セキュリティ情報
SQL Server および MSDE を標的とした SQL Slammer ワームに関する情報
http://www.microsoft.com/japan/technet/security/virus/sqlslam.asp

情報処理振興事業協会セキュリティセンター(IPA/ISEC)
新種ワーム「MS-SQL ワーム」に関する情報
http://www.ipa.go.jp/security/ciadr/vul/20030126ms-sql-worm.html

Internet Security Systems セキュリティ アラート
Microsoft SQL Slammer Worm の蔓延
http://www.isskk.co.jp/support/techinfo/general/X-ForceslammerWorm.html

F-Secure Computer Virus Information Pages: Sapphire
http://www.f-secure.com/v-descs/mssqlm.shtml


III. 予防と対策

Microsoft SQL Server 2000 への侵入やワームの感染を防ぐために、Microsoft が提供している修正プログラムを適用してください。詳細については以下の URL で示したページをご参照ください。また、SQL サービスを使用していない場合は、Microsoft SQL Server 2000 を停止することをお勧めします。

マイクロソフト セキュリティ情報
SQL Server および MSDE を標的とした SQL Slammer ワームに関する情報
http://www.microsoft.com/japan/technet/security/virus/sqlslam.asp

マイクロソフト セキュリティ情報
SQL Server 2000 解決サービスのバッファのオーバーランにより、コードが実行される (Q323875) (MS02-039)
http://www.microsoft.com/japan/technet/security/bulletin/MS02-039.asp

CERT Advisory CA-2002-22
Multiple Vulnerabilities in Microsoft SQL Server
http://www.cert.org/advisories/CA-2002-22.html

パケットフィルタリング機能などを用いて、外部から内部の UDP 1434番ポート宛の不要なパケットを制限することもご検討ください。更に、ワームに感染してしまった場合の二次被害を防ぐために、内部から外部の UDP 1434番ポート宛のパケットを制限することも併せてご検討ください。

今回のワームについては、侵入に成功したホストのメモリのみに感染するので、システムを再起動することでワーム本体を取り除くことができます。しかしながら、一度ワームに感染したホストは修正プログラムを適用しない限り、再びワームに感染する可能性があります。また、より深刻な被害を生む亜種が生まれる可能性もあります。

したがって、抜本的な解決法としては、Microsoft が提供する修正プログラムを適用して Microsoft SQL Server 2000 の脆弱性を修復することが強く推奨されています。


なお、今回のワームによる感染の試みは、1/26(日) 現在、減少傾向にあるようですが、今後も引続き、不審なアクセスの監視を継続されるようお勧めします。今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。

==============================
コンピュータ緊急対応センター (JPCERT/CC)
http://www.jpcert.or.jp/
Topへ
最新情報(RSSメーリングリストTwitter