お使いのブラウザは最新版ではありません。最新のブラウザでご覧ください。

Slammerワームの追跡調査は難航へ

2003/01/28 11:30
  • このエントリーをはてなブックマークに追加

 SQL Slammerワームを送りつけた犯人は誰か。週末にかけてアジアを中心に発生した世界規模のインターネット接続障害で、感染ルートの解明が急がれている。香港、韓国という地域名は挙がっているものの、感染源の特定には至っていない。

 「最初の攻撃がどこであったか特定するのは難しい」と指摘するのはセキュリティーソフトウェア会社eEye Digital SecurityのMarc Maiffret。

 SQL Slammerの追跡調査は困難を要する。同ワームは、UDP(user datagram protocol)という技術を使ってインターネット上で広がる。ハッカーは他人のアドレスを利用し、勝手に外部にアクセスすることができるため、最初にワームを送った人物を特定するのが難しいというわけだ。

 今回、ワームが広がり始めたのは太平洋時間1月24日午後9時30分ごろだ。数分後には、MicrosoftのSQL Serverソフトウェアを介して、一気に12万台のコンピュータに感染したと見られる。1年半前に発生したCode RedやNimda以来の大規模な被害となった。SQL Slammerは大量の複製プログラムを送りつけることでインターネットをパンクさせ、同時に感染プログラムをばらまいていく。そのため、ISP(Internet service providers)にも被害が広がり、多くのユーザーにも影響を与えた。

 ワームの追跡は方々で始まっている。その調査の一つが、"Victim Zero"と呼ばれる最初に感染したコンピュータを特定することだ。そのコンピュータを分析することで、犯人解明の糸口を探す。

 North American Network Operators Groupは、Victim Zeroをアメリカ中西部の大学1校、ウェブ・ホスティング・プロバイダー大手1社、ISP1社、ウェブ関連のコンテンツプロバイダー1社に絞ったという。また、ネットワークセキュリティ技術のプロバイダーCounterpane Internet Securityは、24日正午に同社が探知した情報を元に、韓国が発生源と分析する。韓国のコンピュータからオーストラリアのSQL Serverに送られたデータ情報の中に疑わしい情報があったという。

 また、調査会社iDefenseは、中国のハッキンググループHUC(The Honkers Union of China)との関連を指摘している。現段階においては、HUCとのつながりを示す証拠は薄いとしながらも、HUCがかつてSQL Serverのぜい弱性を利用するコードを公開していたことがひっかかるという。また今回のワームのコードが「NOP(no operation)」コマンドから始まることにも注目しているという。HUCには「n0p」というハンドルネームのメンバーがいるからだ。

 FBIも調査に乗り出しているが、今の所、特定の地域や名前を挙げてはいない。

この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。

原文へ

  • このエントリーをはてなブックマークに追加
個人情報保護方針
利用規約
訂正
広告について
運営会社