W32/SQL ワーム、週末に世界中で大暴れ

1月24日に米国で発見され、被害が広まっている W32/SQL ワームに関し、 ウイルス対策ソフトウェア各社がいっせいに警告を発している。

W32/SQL ワーム（シマンテック：W32.SQLExp.Worm、 ネットワークアソシエイツ：W32/SQL Slammer、 ソフォス：SQLSlammer、 トレンドマイクロ：WORM_SQLP1434.A）は Microsoft SQL サーバーの脆弱性を狙ったもので、 UDP ポート1434に対して DDoS 攻撃をかけ、 脆弱性対策が施されていないシステムは結果としてダウンしてしまう。 このワームはメモリ上にのみ存在するので、 ウイルス対策ソフトウェアでは検知できない。

最新のサービスパックが当たっている SQL サーバーは影響を受けない。

個人の PC に感染する恐れはないものの、 攻撃自体がネットワーク上のトラフィックを増大させるので、 インターネット利用などに影響を及ぼす恐れがある。

シマンテックでは26日、 被害が増えていることから、 5段階の危険度レベルを3に設定した。 Symantec Security Response によると、 現在 1434/UDP ポートに対するアクセス数が急増、 全世界で感染したサーバーは20,000台以上にもなっているそうだ。

またネットワークアソシエイツでも、 日本時間の25日午後9時過ぎに「AVERT アバート」が危険度を「高」に指定したのを受け、 情報をサイト上に 掲載している。

ソフォスも1月25日付で テクニカルサポート（英語）ページに情報を掲載、 27日にはクライアント企業にメールで警告を発した。

ワームの DDoS 攻撃から防御するための一時的な措置としては、 1434/UDP ポートをブロックすることだが、 これは Microsoft SQL サーバーが使用するポートなので、 SQL サーバーの動作に支障がでるかもしれない。

マイクロソフトが発行しているパッチをシステムに当て、 マシンを再起動するとメモリ内のウイルスが一掃され、 その後の再感染も防ぐことができる。

マイクロソフト社の情報は、 こちら。