[PRB] 空白 (NULL) の sa パスワードを使用している、セキュリティで保護されていない SQL Server のワームに対する脆弱性

文書翻訳 文書翻訳
文書番号: 313418 - 対象製品
すべて展開する | すべて折りたたむ

現象

SQL Server の空白の sa (システム管理者) パスワードを悪用する、"Voyager Alpha Force" と呼ばれるワームがインターネットで見つかっています。ワームはポート 1433 をスキャンすることで SQL Server を実行しているサーバーを探します。ポート 1433 は SQL Server のデフォルトのポートです。ワームはサーバーを検出すると、空白 (NULL) の sa パスワードを使用して、その SQL Server のデフォルトのインスタンスにログインします。

ログインが成功すると、ワームは IRC (インターネット リレー チャット) チャネルで、セキュリティで保護されていない SQL Server のアドレスをブロードキャストし、フィリピンにある FTP サイトから実行可能ファイルを読み、実行します。SQL Server に sa としてログインすると、そのユーザーはコンピュータへの管理アクセス権を取得し、特定の環境によっては、他のコンピュータにアクセスできるようになります。

回避策

ここに記載されているのは、システムのセキュリティを強化するのに役立つ一般的な手順です。また、以下の手順は、いずれか 1 つのみでも、SQL Server を実行しているサーバーが、この特定のワームに感染することを防止します。これらの手順は、すべての SQL Server インストールに関するセキュリティの標準的な "推奨事例" です。
  • 認証モードが混在モード (Windows 認証と SQL Server 認証) である場合、NULL 以外のパスワードを使用して sa ログイン アカウントをセキュリティで保護します。このワームは sa ログイン アカウントがセキュリティで保護されていない場合のみに動作します。そのため、直接 sa アカウントを使用しない場合でも、SQL Server Books Online の「システム管理者 (sa) のログイン」に記載されている推奨事例に従って、組み込みの sa アカウントに強力なパスワードを割り当てることが最善です。セキュリティを強化するには、Windows 認証モード (Windows 認証のみ) を有効にして、sa ユーザーとしてログインできないようにします。Windows 認証を使用するようにクライアントを構成します。
  • 成功したログインおよび失敗したログインの監査を有効にします。その後、MSSQLServer サービスを停止して、再開します。
  • インターネット ゲートウェイでポート 1433 をブロックし、SQL Server が別のポートでリッスンするようにします。
  • インターネット ゲートウェイでポート 1433 を利用できるようにする必要がある場合、ポートの誤用を防止するために egress または ingress フィルタを有効にします。
    : ingress または egress フィルタの設定に関する詳細については、ネットワーク管理者またはファイアウォール ベンダに問い合わせてください。

  • ローカル管理アカウントではなく、標準の Microsoft Windows NT アカウントで SQL Server サービスおよび SQL Server エージェントを実行します。
既に問題が発生しているシステムで問題を回復する方法の詳細については、以下の Web サイトで CERT Coordination Center (英語) を参照してください。
Steps for Recovering from a UNIX or NT System Compromise
http://www.cert.org/tech_tips/win-UNIX-system_compromise.html

Intruder Detection Checklist
http://www.cert.org/tech_tips/intruder_detection_checklist.html
他社テクニカル サポートのお問い合わせ窓口は、ユーザーの便宜のために提供されているものであり、将来予告なしに変更されることがあります。マイクロソフトは、掲載している情報に対して、いかなる責任も負わないものとします。

詳細

重要 : この侵入が実行可能になるのは、SQL Server の問題ではなく、セキュリティで保護されていないシステムが原因で発生する脆弱性によるものです。

以下のファイルは、ワームが存在することを示します。
  • rpcloc32.exe (md5 = 43d29ba076b4fd7952c936dc1737fcb4 )
  • dnsservice.exe (md5 = 79386a78a03a1665803d8a65c04c8791 )
  • win32mon.exe (md5 = 4cd44f24bd3d6305df73d8aa16d4caa0 )
また、次のレジストリ キーは、このワームが存在することを示します。
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\TaskReg
以下のレジストリ キーは SQL Server の既存のキーです。ワームは、TCP/IP ネットワーク ライブラリを使用して、コンピュータへのアクセスを制御するのに、これらのキーを使用します。
SOFTWARE\Microsoft\MSSQLServer\Client\SuperSocketNetLib\ProtocolOrder
SOFTWARE\Microsoft\MSSQLServer\Client\ConnectTo\DSQUERY
ワームは、xp_cmdshell 拡張ストアド プロシージャを使用します。このストアド プロシージャを使用すると、ワームは、SQL Server サービスを実行しているアカウントが実行するアクセス許可を持つ、任意のオペレーティング システムのコマンドを実行できます。

以下のマイクロソフト Web サイトでは、SQL Server サーバーをセキュリティで保護する方法についての詳細を説明しています。
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/prodtechnol/sql/maintain/security/sp3sec/default.asp
http://www.microsoft.com/japan/sql/techinfo/Administration/2000/security/

関連情報

この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 313418 (最終更新日 2003-08-06) を基に作成したものです。

プロパティ

文書番号: 313418 - 最終更新日: 2003年9月24日 - リビジョン: 4.1
この資料は以下の製品について記述したものです。
  • Microsoft SQL Server 2000 Standard Edition
  • Microsoft SQL Server 7.0 Standard Edition
  • Microsoft Data Engine 1.0
キーワード:?
kbprb KB313418
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com