SQL Slammerワームを送りつけた犯人は誰か。週末にかけてアジアを中心に発生した世界規模のインターネット接続障害で、感染ルートの解明が急がれている。香港、韓国という地域名は挙がっているものの、感染源の特定には至っていない。
「最初の攻撃がどこであったか特定するのは難しい」と指摘するのはセキュリティーソフトウェア会社eEye Digital SecurityのMarc Maiffret。
SQL Slammerの追跡調査は困難を要する。同ワームは、UDP(user datagram protocol)という技術を使ってインターネット上で広がる。ハッカーは他人のアドレスを利用し、勝手に外部にアクセスすることができるため、最初にワームを送った人物を特定するのが難しいというわけだ。
今回、ワームが広がり始めたのは太平洋時間1月24日午後9時30分ごろだ。数分後には、MicrosoftのSQL Serverソフトウェアを介して、一気に12万台のコンピュータに感染したと見られる。1年半前に発生したCode RedやNimda以来の大規模な被害となった。SQL Slammerは大量の複製プログラムを送りつけることでインターネットをパンクさせ、同時に感染プログラムをばらまいていく。そのため、ISP(Internet service providers)にも被害が広がり、多くのユーザーにも影響を与えた。
ワームの追跡は方々で始まっている。その調査の一つが、"Victim Zero"と呼ばれる最初に感染したコンピュータを特定することだ。そのコンピュータを分析することで、犯人解明の糸口を探す。
North American Network Operators Groupは、Victim Zeroをアメリカ中西部の大学1校、ウェブ・ホスティング・プロバイダー大手1社、ISP1社、ウェブ関連のコンテンツプロバイダー1社に絞ったという。また、ネットワークセキュリティ技術のプロバイダーCounterpane Internet Securityは、24日正午に同社が探知した情報を元に、韓国が発生源と分析する。韓国のコンピュータからオーストラリアのSQL Serverに送られたデータ情報の中に疑わしい情報があったという。
また、調査会社iDefenseは、中国のハッキンググループHUC(The Honkers Union of China)との関連を指摘している。現段階においては、HUCとのつながりを示す証拠は薄いとしながらも、HUCがかつてSQL Serverのぜい弱性を利用するコードを公開していたことがひっかかるという。また今回のワームのコードが「NOP(no operation)」コマンドから始まることにも注目しているという。HUCには「n0p」というハンドルネームのメンバーがいるからだ。
FBIも調査に乗り出しているが、今の所、特定の地域や名前を挙げてはいない。
この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」