MySQLを標的にするワームが出現--米セキュリティ組織が警告

Robert Lemos (CNET News.com)2005年01月28日 12時07分

 管理者が安易に設定したパスワードを足がかりにして、データベースシステムに感染するワームが出現した。

 この悪質なプログラムは「MySQL bot」、もしくは実行ファイルの名称をとって「SpoolCLL」と呼ばれている。Internet Storm Centerが米国時間27日に発表した報告によると、ワームの標的はMicrosoft Windowsオペレーティングシステム(OS)と、オープンソースデータベースのMySQLが稼動するコンピュータだという。また、被害を受けたコンピュータはすでに8000台を上回る可能性があると、Internet Storm Centerはいう。同センターは、ネットワーク上の脅威を監視する組織。

 ワームは、システム管理者が設定しがちな安易なパスワードを推測して、データベースマシンにアクセスするための突破口を開く。次に、MySQLの脆弱性を悪用して「ボット」と呼ばれるプログラムを実行し、システムの管理権限を掌握する。

 Internet Storm Centerの報告書には、「ボットはパスワードの膨大なリストを持っており、そこから力業で正解を見つけ出している」と記載されている。

 データベースソフトウェアを実行しているWindowsシステムに感染することから、このワームのプログラムは2年近く前にまん延したSlammerワームと類似している。だが、SpoolCLLの場合は、パスワードさえ慎重に設定していればシステムが侵されることはないと、Internet Storm Centerは分析する。

 MySQLデータベースは、LinuxなどのオープンソースOSとともにインストールされていることが多い。すなわち、インターネットに接続されているコンピュータのうち、このワームの被害に遭うのはほんの少数ということだ。

 Internet Storm Centerによれば、ワームに感染したコンピュータは任意のInternet Relay Chat(IRC)サーバに接続を試みて、新たな標的を探し出そうとするという。調査では、IRCサーバに接続を試みたホストは8500台程度あることが判明している。このことから、かなりの台数のコンピュータが、すでにワームに侵されていることが推測される。

 一方、セキュリティベンダーLURHQのシニアリサーチャーで、Internet Storm Centerの調査にも関わっているJoe Stewartは、「これ以外にも、このワームの感染方法は存在すると考えている。8500台のコンピュータすべてが、こうした手法でワームに感染したとは断定できない」と述べる。

この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画特集

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]