サーバーに限らないという事がわかってひと騒ぎを起したSlammerだが、Microsoft SQL Slammer Worm Propagationを見るとほぼ終息。実際にはサーバー以外でMSDE(Microsoft SQL 2000 Desktop Engine)が導入されているパソコンが少なかった事が伺える。
なおエンドユーザーがSlammerの影響を受けるかどうかを判断する手段として「SQL Server および MSDE を標的とした SQL Slammer ワームに関する情報」のFAQ(多く寄せられる質問)として「Q.私のコンピュータに感染するのでしょうか?」の項目に次のように書かれているので、備忘録として引用しておく。
A.Slammer ワームは、SQL Server 2000 または MSDE 2000 をインストールしているコンピュータに感染する恐れがあります。次のステップを確認の上、該当する製品がインストールしていないかご確認ください。以上、マイクロソフトTechNetセキュリティセンターの「SQL Server および MSDE を標的とした SQL Slammer ワームに関する情報」より引用。[スタート] - [検索] - [ファイルやフォルダ(F)...] をクリックします。 "ファイルまたはフォルダの名前"に ssnetlib.dll と入力します。 [検索開始]ボタンをクリックします。 ウインドウの右側に検索結果が表示されます。検索は少し時間がかかる場合があります。 ファイルがシステム上に存在している場合、MSDE または SQL Server がインストールされています。 ssnetlib.dll の上で右クリックし、 [プロパティ]をクリックします。 ssnetlib.dll のプロパティが開きます。 [バージョン情報] タブをクリックします。 ファイル バージョンを確認します。
バージョンが、2000.xx.xxx.x ではない場合は影響を受けません。 (SQL Server 2000 または MSDE 2000 ではありません) バージョンが、2000.80.636.0 よりも古い場合は影響を受けるため、対策を行う必要があります。
それにしても今回の一件ではOfficeなどの自社製はもとよりOpenViewなど他社の思わぬソフトにまでSQLコンポーネントが含まれている事に驚いた。ていうか、気付いたユーザーはどれくらいいたのだろうか?まさに油断大敵と言える。そういう観点に立って改めてインタネット接続に関して不要なポートを塞ぐフィルタリングの大切さを思い知った。ルーターがやられるようでは防ぎようが無いのだが、世に出回っているブロードバンドルーターにはデフォルトオープンになっているのもまだまだ多いと聞く。ちゃんと設定したと思っても思わぬ再起動などでデフォルトに戻っている場合もあるので、時々再確認する事をオススメする。
ちなみにCiscoのルーターにまでMSDEが入っていると言うのは全くの意外だったが、今後はHDDレコーダーを筆頭にネットワーク接続される家電品は間違いなく増えるわけだし、そういうマスプロ製品に同様のセキュリティホールが発覚した場合にどうなるかと考えると、やっぱりネット家電はリスキーだ。
参照
●インターネット セキュリティ システムズ株式会社
-Microsoft SQL Slammer Worm Propagation
●日経 ITPro
-【緊急対策:世界規模のネット障害】原因はSQL Serverのホールか,ユーザーは対策を急げ 2003年1月26日
-世界規模のネット障害,再発防止のために ――SQL Serverのセキュリティ・ホールを解説する 2003年1月27日
-【徹底解説:SQL Slammer対策の死角】クライアント も狙われる,パッチ適用でトラブルも 2003年1月28日
-【速報】SQLスラマー,日本での感染は10社 -- MS 阿多社長 2003年1月28日
●ITmedia News
-ワームの猛威で各社対応に追われた週末 2003年1月27日
-Slammer“サイバーテロ説”は安易だった? 2003年1月27日
-タイミングが悪すぎたSlammerワーム 2003年1月28日
●Winセキュリティ虎の穴
●マイクロソフトTechNetセキュリティセンター
-「SQL Server および MSDE を標的とした SQL Slammer ワームに関する情報」
-MS02-039: SQL Server 2000 解決サービスのバッファのオーバーランにより、コードが実行される (Q323875) 2002年7月25日
●日本ヒューレット・パッカード株式会社
-hp OpenView製品における Slammer/SQL Expワームの感染について 2003年1月27日
●Cisco Systems, Inc.
-Cisco Security Advisory: Microsoft SQL Server 2000 Vulnerabilities in Cisco Products - MS02-061 2003年1月26日