2003年のコンピュータワーム
SQLスラマー [a] は2003年に発生した コンピュータワームで、一部の インターネット ホスト で サービス拒否を 引き起こし、 インターネット全体のトラフィック を劇的に低下させました。また、世界中のルーターをクラッシュさせ、さらなる速度低下を引き起こしました。急速に拡散し、75,000人の被害者のほとんどが10分以内に感染しました。
このプログラムは、 Microsoftの SQL Server および Desktop Engineデータベース製品に存在する バッファオーバーフローの 脆弱性を悪用していました。MS02-039(CVE-2002-0649) [2] の修正プログラムは6か月前にリリースされていましたが、多くの組織ではまだ適用されていませんでした。
技術的な詳細
このワームは、 Black Hat Briefings でデモンストレーションされた概念実証コードに基づいています。 リッチフィールド 氏は 、ワームが悪用するバッファオーバーフローの脆弱性を最初に発見した人物です。 [3] これは小さなコードで、ランダムなIPアドレスを生成し、それらのアドレスに自身を送信する以外にはほとんど何もしません。選択されたアドレスが、UDPポート1434でリッスンしている、パッチを適用していない Microsoft SQL Server 解決サービスのコピーを実行しているホストに属していた場合、そのホストは即座に感染し、インターネット上にワームプログラムのコピーを拡散し始めます。
家庭用 PCは 、MSDEがインストールされていない限り、一般的にこのワームの影響を受けません。ワームは非常に小さく、ディスクに自身を書き込むコードが含まれていないため、メモリ内にのみ存在し、簡単に削除できます。例えば、シマンテックは無料の削除ユーティリティを提供しており、SQL Serverを再起動することでも削除できます(ただし、マシンはすぐに再感染する可能性があります)。
このワームは、2002年7月24日にマイクロソフトが初めて報告したSQL Serverのソフトウェアセキュリティの脆弱性 によって発生しました。 ワームが出現する6か月前からマイクロソフトからパッチが提供されていましたが、多くのインストールではパッチが適用されていませんでした。マイクロソフト社内の多くもパッチが適用されていませんでした。 [4]
このワームは2003年1月25日の早い時期に、世界中のシステムの速度低下を引き起こしたことで 注目され始めました [b] 。速度低下の原因は、感染したサーバーからの極めて大量のトラフィック攻撃によって多数の ルーター がダウンしたことでした。通常、トラフィックがルーターの処理能力を超えている場合、ルーターはネットワークトラフィックを遅延させたり、一時的に停止させたりすることになっています。ところが実際には、一部のルーターが クラッシュ (使用不能)し、「隣接」ルーターはこれらのルーターが停止し、通信できない状態(つまり「 ルーティングテーブル から削除」)になったことを認識しました。ルーターは、この通知を他のルーターにも送信し始めました。ルーティングテーブル更新通知の急増により、さらに多くのルーターがダウンし、問題が悪化しました。最終的に、クラッシュしたルーターの保守担当者がルーターを再起動し、ルーターの状態をアナウンスさせました。これにより、ルーティングテーブル更新の新たな波が起こりました。間もなく、ルーターがルーティングテーブルを更新するために相互通信することで、インターネット帯域幅のかなりの部分が消費され、通常のデータトラフィックが遅くなり、場合によっては完全に停止しました。 SQL Slammer ワームのサイズが非常に小さいため、正規のトラフィックが通過できない場合でも通過してしまうことがありました。
SQLスラマーの急速な拡散には、2つの重要な要素が寄与しました。ワームは セッションレス UDP プロトコルを介して新しいホストに感染し、ワーム全体(わずか376バイト)が1つのパケットに収まるという点です。 [9] [10] 感染したホストは、パケットを可能な限り迅速に「送信して忘れる」だけでした。
注記
^ その他の名前には、W32.SQLExp.Worm、DDOS.SQLP1434.A、Sapphire Worm、SQL_HEL、W32/SQLSlammer、Helkernなどがあります。 [1]
^ 公開は、マイケル・バカレラが 2003年1月25日午前7時11分41秒(UTC)に Bugtraq セキュリティメーリングリストに「MS SQL WORMがインターネットブロックポート1434を破壊!」 [5]というタイトルのメッセージを投稿したことから始まりました。同様の報告は、ロバート・ボイルが午前8時35分(UTC) [6] 、ベン・コシーが午前10時28分(UTC) [7] に投稿しました。シマンテックが発表した初期の分析は、午前7時45分(GMT)のタイムスタンプとなっています。 [8]
参考文献
^ 「Symantec W32.SQLExp.Worm」。2006年11月10日時点のオリジナルよりアーカイブ。
^ “CVE - CVE-2002-0649”. cve.mitre.org . 2023年 9月7日 閲覧 。
^ Leyden, John (2003年2月6日). 「Slammer: セキュリティは概念実証コードからなぜ利益を得るのか」. Register . 2008年 11月29日 閲覧 。
^ 「マイクロソフトもワームの攻撃を受ける」 Wired 。
^ Bacarella, Michael (2003年1月25日). 「MS SQL WORM IS DESTROYING INTERNET BLOCK PORT 1434!」. Bugtraq . 2012年 11月29日 閲覧 。
^ ボイル、ロバート(2003年1月25日)「誠実さと洞察力による心の平安」Neohapsisアーカイブ。2009年2月19日時点のオリジナルよりアーカイブ。 2008年 11月29日 閲覧 。
^ Koshy, Ben (2003年1月25日). 「誠実さと洞察力で心の平安を得る」 Neohapsis アーカイブ. 2009年2月19日時点のオリジナルよりアーカイブ。 2008年 11月29日 閲覧 。
^ 「SQLExp SQL Serverワーム分析」 (PDF) 。DeepSight™脅威管理システム脅威分析。2003年1月28日。2003年3月7日時点のオリジナル (PDF) からアーカイブ。
^ ムーア、デイビッド他「サファイア/スラマーワームの蔓延」 CAIDA(インターネットデータ分析協同組合 )
^ Serazzi, Giuseppe; Zanero, Stefano (2004). 「コンピュータウイルス伝播モデル」 (PDF) . Calzarossa, Maria Carla; Gelenbe, Erol (編). パフォーマンスツールとネットワークシステムへの応用 . コンピュータサイエンス講義ノート. 第2965巻. pp. 26– 50.
外部リンク
ニュース
BBCニュース テクノロジー ウイルスのような攻撃がウェブトラフィックを襲う
MS SQL Serverワームが大混乱を引き起こす
Wired 11.07: Slammed! Slammer コードを一般向けに解説。
発表
マイクロソフトセキュリティ情報 MS02-039 およびパッチ
「CERTアドバイザリCA-2003-04:MS-SQL Serverワーム」。 カーネギーメロン大学ソフトウェア工学研究所 。2003年2月1日時点のオリジナルよりアーカイブ 。 2019年 9月22日 閲覧。
シマンテック セキュリティ レスポンス - W32.SQLExp.Worm
分析
スラマーワームの内側 IEEE セキュリティ&プライバシーマガジン、デビッド・ムーア、ヴァーン・パクソン、ステファン・サベージ、コリーン・シャノン、スチュアート・スタニフォード、ニコラス・ウィーバー
技術的な詳細
Wayback Machine で逆アセンブルされたワームコード (2011年7月22日アーカイブ)
Microsoft SQL Server における複数の脆弱性 - カーネギーメロンソフトウェアエンジニアリング研究所