各位
TCP 1433番ポートへのスキャンの増加に関する注意喚起
Increase in TCP Port 1433 scanning activity
http://www.jpcert.or.jp/at/2002/at020002.txt
I. 概要
JPCERT/CC では、TCP 1433番ポート (ms-sql-s) への大量のスキャンが広範囲に渡って行なわれているとのインシデント報告を受け付けています。これらのスキャンは、Microsoft SQL Server の既知の弱点を使って伝播するワームの感染の試みである可能性があります。
II. 対象
Microsoft SQL Server の管理用アカウント sa のパスワードが未設定であるシステムには、侵入やワームによる感染などの被害を受ける可能性があります。また、Microsoft SQL Server をインストールしていなくても、製品の一部として Microsoft SQL Server のコンポーネントが含まれている場合もあることにご注意ください。詳細は以下の URL で示したページをご参照ください。
SQL Server を標的とした SQLSPIDA ワームに関する情報
http://www.microsoft.com/japan/technet/security/virus/sqlspida.asp
Microsoft SQL Server がインストールされているかどうかを調べる方法については、CERT/CC Vulnerability Note VU#635463 にも記述があります。
CERT/CC Vulnerability Note VU#635463
Microsoft SQL Server and Microsoft Data Engine (MSDE) ship with a null default password
http://www.kb.cert.org/vuls/id/635463
III. 予防と対策
Microsoft SQL Server への侵入を防ぐために、管理用アカウント sa に適切なパスワードを設定してください。また、パケットフィルタリング機能などを用いて、外部から内部の TCP 1433番ポート宛の不要なパケットを制限することもご検討ください。更に、ワームに感染してしまった場合の二次被害を防ぐために、内部から外部の TCP 1433番ポート宛のパケットを制限することも併せてご検討ください。
ワームに感染しているかどうかを調べる方法とワームに感染した場合の対応策については、以下の URL で示したページをご参照ください。
CERT Incident Note IN-2002-04
Exploitation of Vulnerabilities in Microsoft SQL Server
http://www.cert.org/incident_notes/IN-2002-04.html
PRB: Unsecured SQL Server with Blank (NULL) SA Password Leaves Vulnerability to a Worm (Q313418)
http://support.microsoft.com/default.aspx?scid=kb;EN-US;Q313418
Microsoft SQL Spida ワームの蔓延
http://www.isskk.co.jp/support/techinfo/general/SQL_SpidaWorm_xforce.html
なお、Microsoft より Microsoft SQL Server に存在する複数の問題を解決するための修正プログラムが提供されています。Microsoft SQL Server のセキュリティを強化するためにこれらの修正プログラムを適用することを強くお勧めいたします。
今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。
==============================
コンピュータ緊急対応センター (JPCERT/CC)
http://www.jpcert.or.jp/
JPCERT-AT-2002-0002
JPCERT/CC
2002-05-24
JPCERT/CC Alert 2002-05-24
TCP 1433番ポートへのスキャンの増加に関する注意喚起
Increase in TCP Port 1433 scanning activity
http://www.jpcert.or.jp/at/2002/at020002.txt
I. 概要
JPCERT/CC では、TCP 1433番ポート (ms-sql-s) への大量のスキャンが広範囲に渡って行なわれているとのインシデント報告を受け付けています。これらのスキャンは、Microsoft SQL Server の既知の弱点を使って伝播するワームの感染の試みである可能性があります。
II. 対象
Microsoft SQL Server の管理用アカウント sa のパスワードが未設定であるシステムには、侵入やワームによる感染などの被害を受ける可能性があります。また、Microsoft SQL Server をインストールしていなくても、製品の一部として Microsoft SQL Server のコンポーネントが含まれている場合もあることにご注意ください。詳細は以下の URL で示したページをご参照ください。
SQL Server を標的とした SQLSPIDA ワームに関する情報
http://www.microsoft.com/japan/technet/security/virus/sqlspida.asp
Microsoft SQL Server がインストールされているかどうかを調べる方法については、CERT/CC Vulnerability Note VU#635463 にも記述があります。
CERT/CC Vulnerability Note VU#635463
Microsoft SQL Server and Microsoft Data Engine (MSDE) ship with a null default password
http://www.kb.cert.org/vuls/id/635463
III. 予防と対策
Microsoft SQL Server への侵入を防ぐために、管理用アカウント sa に適切なパスワードを設定してください。また、パケットフィルタリング機能などを用いて、外部から内部の TCP 1433番ポート宛の不要なパケットを制限することもご検討ください。更に、ワームに感染してしまった場合の二次被害を防ぐために、内部から外部の TCP 1433番ポート宛のパケットを制限することも併せてご検討ください。
ワームに感染しているかどうかを調べる方法とワームに感染した場合の対応策については、以下の URL で示したページをご参照ください。
CERT Incident Note IN-2002-04
Exploitation of Vulnerabilities in Microsoft SQL Server
http://www.cert.org/incident_notes/IN-2002-04.html
PRB: Unsecured SQL Server with Blank (NULL) SA Password Leaves Vulnerability to a Worm (Q313418)
http://support.microsoft.com/default.aspx?scid=kb;EN-US;Q313418
Microsoft SQL Spida ワームの蔓延
http://www.isskk.co.jp/support/techinfo/general/SQL_SpidaWorm_xforce.html
なお、Microsoft より Microsoft SQL Server に存在する複数の問題を解決するための修正プログラムが提供されています。Microsoft SQL Server のセキュリティを強化するためにこれらの修正プログラムを適用することを強くお勧めいたします。
今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。
==============================
コンピュータ緊急対応センター (JPCERT/CC)
http://www.jpcert.or.jp/