1月25日〜26日にかけて、アジアを中心に世界規模でインターネット接続に障害が発生した。韓国で全国的にサーバに接続ができなくなったほか、台湾、中国などがインターネットにアクセスできない状況に陥った。また、米国でもネットワークの通信速度が大幅に低下し、米Bank of AmericaのATM1万3000台以上が停止した。ワームによるサーバ攻撃が原因とみられている。
Slammer(またはSapphire、SQLExp)と呼ばれるこのワームは、12万台以上のコンピュータに感染し、多数の企業ネットワークに混乱を引き起こした。
Slammerが感染に利用する米MicrosoftのSQL Serverのセキュリティホールは半年前に検出されたもので、すでにパッチが配布されている。セキュリティー情報サイト、Incidents.orgのディレクターのJohannes Ullrichは、「“ソフトウェアのバグは珍しいことではなく、管理者は世の中で取り沙汰されているトラブルでさえ、すぐには対応しない”というIT業界のだらしない側面を露呈した事件だ」と述べた。
ワームが広がり始めたのは太平洋時間1月24日午後9時30分頃。ちょうどその前日、Microsoft会長のBill Gatesが、「信頼性の高いコンピューティング(Trustworthy Computing)の取り組みを開始して最初の1年で、多くの目標を達成している」とのコメントを、顧客に向けて電子メールで配信した。
しかし、問題のセキュリティホールが半年も前に検出されものであるため、専門家の非難は、Microsoftよりもパッチを適用していなかった管理者に集中している。「Microsoftに完全に責任があるとは言い切れない。同社は確かにバグのあるソフトウェアをリリースしたが、何ヶ月も前に修正している。顧客は攻撃を防ぐことができたのだ」(米eEye Digital Securityセキュリティーソフトウェア部門チーフ・ハッキング・オフィサーのMarc Maiffret)
フィンランドF-Secureによれば、「世界に13台あるルートDNSサーバのうち5台が影響を受けている」という。「SQL Slammerは、電子メールを大量に送りつけるタイプのワームと異なり、自身をハードディスクに書き込むことはしない。しかしメモリーに常駐し、別のコンピュータにパケットを送り続けて感染を試みる。この行為が、Code Redに匹敵するサービス拒否(DoS)攻撃を引き起こす」(F-Secure社)
米Trend Microと米Network Associatesは、Slammerの危険度を「高」としている。Slammerのサイズは376バイトで、以下の文字列を含んでいる。
h.dllhel32hkernQhounthickChGetTf
hws2
Qhsockf
toQhsend
パッチを適用してセキュリティホールをふさぎ、ワームが使用するUDP 1434番をファイアウォールなどで遮断するなどして対策をとることが急務である。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス