SQL Slammer

SQL Slammerを最初さいしょに発見はっけんした人物じんぶつは、W3 MediaのシニアWebデベロッパでテクニカルマネージャーのBen Koshyとされている^[3]。"SQL Slammer"と呼よばれているが、このワームはSQLで書かかれているわけではなく、このワームがマイクロソフトのSQL ServerまたはMSDEに含ふくまれるバッファオーバーフローの脆弱ぜいじゃく性せいを突ついて感染かんせんするからである。ちなみに、その脆弱ぜいじゃく性せいの対策たいさくパッチは6ヶ月かげつ前まえにマイクロソフトより公開こうかいされていた（MS02-039, MS02-061）。

Internet Storm Centerなどインターネットのトラフィックをモニターしているサイトは、ネットワークが世界せかい的てき規模きぼで著いちじるしく重おもくなっていると報告ほうこくした。その状況じょうきょうは2001年ねん夏なつに大だい流行りゅうこうしたCode Redと似にていた。

日本にっぽんの感染かんせん状じょう況きょうは非常ひじょうに軽微けいび（シマンテックへの感染かんせん報告ほうこくは1件けんのみ）だったが、セキュリティ意識いしきが低ひくく、コピーソフトが蔓延まんえんしているためパッチやサービスパックを適用てきようしていない韓国かんこくでは、感染かんせんしたSQL ServerによりDNSがダウンしたことで全国ぜんこくでインターネットが利用りようできなくなるなど、大おおきな影響えいきょうが出でた。企業きぎょうのサーバでも多おおくの感染かんせん被害ひがいが出でた^[4]。また同様どうようの攻撃こうげきは、アジア、ヨーロッパ、北米ほくべいでも報告ほうこくされた。

ウイルス対策たいさくソフトメーカーのシマンテックは世界中せかいじゅうで少すくなくとも2万まん2000台だいものシステムが影響えいきょうを受うけると見積みつもった。

Microsoft SQL Server Desktop Engine (MSDE) は、このワームに感染かんせんし、続々ぞくぞくと感染かんせん数すうを増ふやしていった。また、MSDEがインストールされていることを知しらない一般いっぱん家庭かていのユーザーの存在そんざいもさらに事態じたいを悪化あっかさせた。さらに、このワームはMSDEの動作どうさしているコンピュータがインターネット経由けいゆで感染かんせんした場合ばあい、ネットワークアドレス変換へんかん (NAT)の内側うちがわのSQL Serverに感染かんせんすることができた。

このワームはわずか376バイトのコードでできていて、IPアドレスをランダムに発生はっせいさせて、発生はっせいさせたIPアドレスを持もつホストに対たいして自身じしんの分身ぶんしんを送おくりつける以外いがいの行動こうどうは行おこなわない。もし、ワームの選択せんたくしたアドレスを持もつホスト上じょうで、パッチを当あてていないMicrosoft SQL Serverが動うごいていた場合ばあい、直ただちにホストに感染かんせんし、感染かんせんを増ふやす活動かつどうを始はじめる。

家庭かていのパソコンでは、一般いっぱん的てきにMSDEがインストールされていない限かぎり感染かんせんすることはない。また、ワームはディスクには書かき込こまれず、メモリに常駐じょうちゅうするだけなので除去じょきょすることは簡単かんたんである。例たとえば、再さい起動きどうするだけでも除去じょきょすることができる（対策たいさくを行おこなっていないので、すぐにまた感染かんせんすることになるが）。

このワームは、2002年ねん7月がつ24日にちにマイクロソフトによって報告ほうこくされたSQL Serverのセキュリティーホールを突ついている。そのパッチはワームが登場とうじょうする半年はんとしも前まえにマイクロソフトからリリースされていたが、多おおくのシステムにはパッチが適用てきようされていなかった（マイクロソフト自身じしんのいくつかのサーバを含ふくむ）。

ネットワーク遅延ちえんは、感染かんせんしたサーバの吐はき出だす大量たいりょうのパケットによるネットワークトラフィックの増大ぞうだいに耐たえ切きれず、多数たすうのルーターがダウンしたことによる。通常つうじょう、トラフィックが処理しょり限界げんかいを超こえると、ルーターの処理しょりが遅延ちえんするか、ネットワークトラフィックを遮断しゃだんすると想定そうていされている。いくつかのルーターがクラッシュし、隣となりのルーターはこれらのルーターへのパケットの受うけ渡わたしを止とめなければならないと感知かんちする。ルーターは、自身じしんの知しっているルーターへこのことを通知つうちし始はじめた。このようなルーティングテーブルの更新こうしん情報じょうほうの通知つうちの嵐あらしが、さらにルーターが故障こしょうする原因げんいんとなり問題もんだいを悪化あっかさせた。さらに、クラッシュしたルーターの管理かんり者しゃがルーターを再さい起動きどうし、ルーターが自分じぶんの存在そんざいを通知つうちしたため、ルーティングの更新こうしん情報じょうほうの通知つうちの嵐あらしが再ふたたび発生はっせいした。すぐに、インターネットの帯域たいいきの大だい部分ぶぶんがこれらルーティングテーブルを更新こうしんするためのルーター同士どうしの通信つうしんに消費しょうひされ、通常つうじょうのデータトラフィックは遅延ちえんし、または完全かんぜんに停止ていしした。皮肉ひにくにも、SQL Slammerは小ちいさなデータだったため、通信つうしんに成功せいこうしたが、まっとうなパケットの通信つうしんは不通ふつうになった。

SQL Slammerは確認かくにんされた最初さいしょのウォーホール型がたワーム（2002年ねん、Nicholas Weaverの論文ろんぶんによって存在そんざいを仮定かていされたネットワークで急速きゅうそくに広ひろがるワーム）である。このワームが急速きゅうそくに広ひろまったのには2つのわけがある。一ひとつはUDP上うえで感染かんせんを広ひろめたこと、そしてもう一ひとつは、ワームが376バイトしかなく1パケットに収おさまった^{[要よう出典しゅってん]}ことである。その結果けっか、感染かんせんしたホストが他たのマシンとのコネクションを確立かくりつする必要ひつようがなくなり、各々おのおのの感染かんせんしたホストは、限界げんかいまで攻撃こうげきを試行しこうできた（大体だいたい、毎秒まいびょう数すう百ひゃく回かい）。

ニュース

• BBC NEWS Technology Virus-like attack hits web traffic
• MS SQL Server Worm Wreaking Havoc
• Wired 11.07: Slammed! A layman's explanation of the Slammer code.
• 「「ネット接続せつぞく障害しょうがい」27日にちが山場やまば」。朝鮮日報ちょうせんにっぽう、2003年ねん1月がつ26日にち。

アナウンス

• Microsoft Security Bulletin MS02-039 and Patch
• CERT Advisory CA-2003-04
• Symantec Security Response - W32.SQLExp.Worm

解析かいせき

• Report of CAIDA-coordinated study of SQL Slammer/SapphWarhol Worms: The Potential for Very Fast Internet Plagues by Nicholas C. Weaver

技術ぎじゅつ情報じょうほう

• Worm code disassembled
• Multiple Vulnerabilities in Microsoft SQL Server - Carnegie-Mellon Software Engineering Institute
• Internet Storm Center