Slammerワームの追跡調査は難航へ

 SQL Slammerワームを送りつけた犯人は誰か。週末にかけてアジアを中心に発生した世界規模のインターネット接続障害で、感染ルートの解明が急がれている。香港、韓国という地域名は挙がっているものの、感染源の特定には至っていない。

 「最初の攻撃がどこであったか特定するのは難しい」と指摘するのはセキュリティーソフトウェア会社eEye Digital SecurityのMarc Maiffret。

 SQL Slammerの追跡調査は困難を要する。同ワームは、UDP(user datagram protocol)という技術を使ってインターネット上で広がる。ハッカーは他人のアドレスを利用し、勝手に外部にアクセスすることができるため、最初にワームを送った人物を特定するのが難しいというわけだ。

 今回、ワームが広がり始めたのは太平洋時間1月24日午後9時30分ごろだ。数分後には、MicrosoftのSQL Serverソフトウェアを介して、一気に12万台のコンピュータに感染したと見られる。1年半前に発生したCode RedやNimda以来の大規模な被害となった。SQL Slammerは大量の複製プログラムを送りつけることでインターネットをパンクさせ、同時に感染プログラムをばらまいていく。そのため、ISP(Internet service providers)にも被害が広がり、多くのユーザーにも影響を与えた。

 ワームの追跡は方々で始まっている。その調査の一つが、"Victim Zero"と呼ばれる最初に感染したコンピュータを特定することだ。そのコンピュータを分析することで、犯人解明の糸口を探す。

 North American Network Operators Groupは、Victim Zeroをアメリカ中西部の大学1校、ウェブ・ホスティング・プロバイダー大手1社、ISP1社、ウェブ関連のコンテンツプロバイダー1社に絞ったという。また、ネットワークセキュリティ技術のプロバイダーCounterpane Internet Securityは、24日正午に同社が探知した情報を元に、韓国が発生源と分析する。韓国のコンピュータからオーストラリアのSQL Serverに送られたデータ情報の中に疑わしい情報があったという。

 また、調査会社iDefenseは、中国のハッキンググループHUC(The Honkers Union of China)との関連を指摘している。現段階においては、HUCとのつながりを示す証拠は薄いとしながらも、HUCがかつてSQL Serverのぜい弱性を利用するコードを公開していたことがひっかかるという。また今回のワームのコードが「NOP(no operation)」コマンドから始まることにも注目しているという。HUCには「n0p」というハンドルネームのメンバーがいるからだ。

 FBIも調査に乗り出しているが、今の所、特定の地域や名前を挙げてはいない。

この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。

原文へ

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画特集

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]