SQLP.1434ワーム、日本で不発だったのは運用スタイルの違い? | RBB TODAY

SQLP.1434ワーム、日本で不発だったのは運用スタイルの違い?

エンタープライズ その他

SQLP.1434ワーム、日本で不発だったのは運用スタイルの違い?
  • SQLP.1434ワーム、日本で不発だったのは運用スタイルの違い?
 トレンドマイクロは29日、都内でウイルスの動向に関するセミナーを開催。2002年のウイルス動向や、2003年のウイルス傾向の予測、WORM_SQLP1434.Aの最新状況などについて語った。

スキャンエンジンとウイルスパターンのグローバルプロダクトマネージャ ジョンハマノ氏


 ウイルスの動向としては、2001年がLoveLetterに見られるような(仕組みとしてはシンプルな)スクリプトタイプの年だったのから一変、2002年はBUGBEARに代表されるような複数の感染経路をもち、複数の機能を備えたバイナリタイプのウイルスが猛威をふるった。トレンドマイクロでは2003年もバイナリタイプが主流となる傾向は続くと見ており、ポリモーフィックなど高度化するウイルスに対応するため、隔離環境を作ってプログラムの挙動を監視できる「SoftMice-III」を搭載したウイルス検出エンジン「VSAPI 6.510」の提供などで対策を進めているという。

 もうひとつのトピックは、先週末から今週初めにかけて猛威をふるったワーム型ウイルス「WORM_SQLP1434.A」で、マイクロソフトのデータベースサーバ「SQL Server 2000」や「MSDE2000」をターゲットに侵入する。発症時の再感染トラフィックが大きいためネットワークへの影響が大きく、世界的に問題となった。

 ただ、トレンドマイクロに寄せられた報告ベースでは、29日14時(日本時間)でワールドワイドで1,308件の感染報告があった一方、日本国内からの感染報告はわずか4件であったという。

 日本で「不発」だった理由について、再感染時にランダムにIPアドレスを決める際、上24ビットをまず決めてから下8ビットを変えながら総当たりするという動作によってターゲットが狭い範囲に集中してしまうという「ワームの仕組み」に起因する要素のほか、日本ではSQL Serverをインターネットからアクセス可能な状態で運用するケースが少ないという「サーバ運用スタイル」に起因する要素があるのではないかと述べた。

 なお、SQLP.1434Aに関する日本のトレンドマイクロの対応としては、
 ・25日夜の時点で同社ウェブサイトに第一報を掲載
 ・26日午前1時頃に顧客やメディア向けの警告メールを送信
 ・26日午前7時頃にメモリからワームを駆除する駆除ツールを公開
という流れだったという。SQLP.1434Aはオンメモリタイプのワームでファイルとしては存在しない。このため通常のパターンファイルのアップデートでは対応できないため、専用の駆除ツールが必要となっている。

 クライアントPCがネットに接続されっぱなしになる「常時接続」は、今後さらに広まるのが確実だ。ちょっと前まではネットワーク管理者向けのものだった「ポートを閉じる」「不要なサービスを起動しない」といった注意事項が、個人のPCにも当てはまるようになってきている。最近のアンチウイルスソフトは、どのベンダーもファイアウォール機能を搭載するようになってきているが、こうした機能も活用しながら、セキュリティを確保するようにしたい。
《RBB TODAY》

編集部のおすすめ記事

特集

page top