【レポート】Slammerが残したもの - 動き始めた日本のセキュリティ対策(1)

  [2003/03/31]

今年1月、ワーム「Slammer」が起こした世界的なインターネット障害についてまだ覚えておられるだろうか? 特に韓国で大きな障害が起こり、1月25日の午後2時ごろから深夜にかけて韓国全体のインターネット網がほぼマヒした。日本では大した被害は出なかったものの、この騒動を"他山の石"とした対策が、総務省を中心に現在、動き出しつつある。この事件の教訓と、進みつつある対策を追った。

「Slammer」は、Microsoftの業務用データベースソフト「SQL Server 2000」のセキュリティホールを利用したワーム。いったん感染すると、SQL Server 2000が使用するポート、UDP/1434を通じ、ランダムに生成したIPアドレスに向かって、インターネットを通じ自分自身を送り続ける。メモリに感染するタイプのワームなので、コンピュータを再起動すれば消える。ここで問題なのは、このセキュリティホールが、事件から半年以上前に発見されていたもので、セキュリティホールを塞ぐパッチも既に世界中で配布されていたことだ。

1月25日、韓国では何が起こっていたのだろうか。総務省の調査チームによると、複数のインターネット・データセンター(IDC)内の、SQL Server 2000を使っているサーバが「Slammer」に感染、LANで繋がったデータセンター内のサーバに片端から感染していった。サーバの処理能力のほとんどを自己複製・送信に使用したため、大手のポータルサイトやオンラインショッピングサイトへのアクセスがほぼ不可能となった。

さらに、感染したサーバから送り出された大量の「Slammer」は、韓国内インターネット網を"渋滞"させるとともに、DNSサーバに集中し、国外向けDNSサーバに高負荷をかけて機能をマヒさせ、韓国と外国とのインターネット接続に障害を起こした。国内向けDNSサーバのサービスにも障害を招き、その結果、国内インターネット網を半日にわたりマヒさせてしまったのだという。ウイルス対策ソフトベンダによると、大手ISPのサーバが「Slammer」に感染したことも被害の拡大を招いたとみられる。これらの被害がどのような順番で起こったのか、主因となったのはどの要素なのかは不明だ。

米CAIDAの調査によると、「Slammer」に感染したSQL Server 2000の台数は、アメリカが全体の42.9%に当たる32,091台と、質量ともに最高となり、それに続くのが韓国の8,848台、11.8%だった。これに対し、日本は1,288台、1.7%と極めて低く、中国も4,708台、6.3%と低めの数字となった。

では、なぜ特に韓国で被害が拡大したのか。まず挙げられるのは、時差の問題だ。韓国以上に感染数が多かったアメリカは、事件発生当時は深夜で、インターネットのトラフィック自体が低かった。それに比べ、韓国は午後2時と、経済が活発に動いている時間帯だった。このため、アメリカでは、一部でATM網がマヒするなどの被害が出たが、総体としては韓国ほどにならなかったとされる。中国でも感染の比率は日本と比べると高かったが、旧正月関連の休日の最中だったため、結果的に被害が少なくて済んだという。

また、韓国特有の原因もある。現地調査に赴いた総務省の武井俊幸情報流通振興課長は、韓国のブロードバンド・インターネットが、この数年間で急成長したものであるということを挙げる。

「DSLの普及が早かったということは、逆に言えば必ずしも対策が追いついていないということです。どうも、DNSサーバの設置構造が、集中傾向にあるらしいですね。韓国テレコム(KT)のシェアが高いんです。新規事業者がDSL事業をやっていますが、それがKTと契約している」(武井氏)。

インターネットが、ネットワーク化によるコンピュータシステムの分散という米軍のプロジェクトから生まれたのは有名な話だが、急速にインターネット化が進んだ韓国では、DNSサーバやIDCのような重要な部分が、KTのような大手に集中している傾向があるという。それゆえに、それらの重要部分が機能を停止したときは、インターネット全体に被害が及んでしまう。

さらに、不正コピーの蔓延が被害を拡大させた、と武井課長は語る。不正コピーユーザーは、ソフトベンダーに正規ユーザー登録が出来ないため、セキュリティホールへの対策パッチを使う権利がそもそもなく、パッチが手に入ったとしてもめったに使わないからだ。「具体的にどの程度かという実体は結局分からないんですが、現地のMicrosoftによると、事件後に配布した「Slammer」対策パッチのダウンロード数が、SQL Server 2000のユーザー登録数よりもはるかに多かったらしいです(笑)。向こうの担当者が、『利用者の意識として、海賊版を使うことが悪いことだという意識がまだ弱いので』と言っていました」(同氏)。

セキュリティ意識の低さも、被害をさらに拡大させた。「正規のユーザーでも、セキュリティパッチを当てていない所が多かったと聞いています」と武井課長は言う。「サーバは24時間運用のものだから、パッチを当てるには一度サーバを止めなければならない。その間サービスを止めざるを得ないし、人手もかかる。それに、システムオペレーターの立場からは、パッチを当てるのは非常に怖いことなんですよ。機材との相性で、パッチを当てたのはいいけれども、その後立ち上がらなくなってしまうことがある。経営者にしてみれば、『それで大丈夫か、いくらかかるんだ』ということになるわけです。これは推測ですが、普通、業者はバックアップサーバを持っていて、一度予備機でパッチを当てて試した後にメーンのサーバにパッチを当てるのですが、実際はシングルサーバでやっていた可能性がある。セキュリティへの投資よりも、安く上げることを重視していたのではないでしょうか」(同氏)。

また、韓国ではブロードバンドの普及率が高かったために、回線が細ければその容量分しか流れることが出来なかった「Slammer」が、太い回線を通じて早期に大量に拡散してしまったということも挙げられるという。

「結局、インターネットの普及が早かっただけに、国民のセキュリティ意識も、セキュリティ対策も急速な情報化にまだ追いついていなかったということかも知れません」(同氏)。

(日比哲哉)

【レポート】Slammerが残したもの - 動き始めた日本のセキュリティ対策(2)
http://pcweb.mycom.co.jp/news/2003/03/31/12.html
に続きます。



IT製品 "比較/検討" 情報

転職ノウハウ

あなたが本領発揮できる仕事を診断
あなたの仕事適性診断

シゴト性格・弱点が20の質問でサクッと分かる!

「仕事辞めたい……」その理由は?
「仕事辞めたい……」その理由は?

71%の人が仕事を辞めたいと思った経験あり。その理由と対処法は?

3年後の年収どうなる? 年収予報
3年後の年収どうなる? 年収予報

今の年収は適正? 3年後は? あなたの年収をデータに基づき予報します。

激務な職場を辞めたいが、美女が邪魔して辞められない
激務な職場を辞めたいが、美女が邪魔して辞められない

美人上司と可愛い過ぎる後輩に挟まれるエンジニアの悩み

人気記事

一覧

イチオシ記事

新着記事

2016年上半期ネットショッピング利用サイト、2位「楽天」- 1位は?
[18:32 6/28] マネー
永野芽都、ドラマ『こえ恋』櫻井孝宏に「ジタバタしたくなるくらい興奮」
[18:30 6/28] エンタメ
『ガンダムSEED ASTRAY 天空の皇女』MGインパルスガンダムブランシュは2種の白で表現
[18:30 6/28] ホビー
キンコン西野、芸人引退宣言「絵本作家になります」- 漫才は継続予定
[18:27 6/28] エンタメ
エレコム、テレビ向けを掲げる最大867Mbpsの11ac対応無線LANルータ
[18:26 6/28] パソコン

求人情報