MySQL ワーム収拾

Robert Lemos 著　CNET News.com 2005年1月28日, 1:40 PM PT
http://news.zdnet.com/2100-1009_22-5555242.html?tag=zdfd.newsfeed

Windowsコンピュータのパスワードを潜り抜けたワームは
金曜には拡大を停止されました。これは幾つかのデータセンタ
で感染したコンピュータをネットワークから切断すること
で達成されました。

多分8,000 個のMySQLデータベースを実行しているWindowsの
コンピュータがMySQL bot（またはプログラムの名前で
SpoolCLL）と呼ばれるワームに感染しました。プログラム自身は
拡大しませんが、Internet relay chat (IRC) サーバーを通して
ダウンロードされます。感染したコンピュータはネットから切断
されワームの拡大は防がれたとコンピュータセキュリティの専門家の
Symantec社のOliver Friedrichsが語りました。
Oliver Friedrichsは続けて「今はまだ残っている感染が少しあるだけです。
ワームはもう問題のあったサーバーに接続できませんので、
もう拡大できません。」と述べました。

Symantecのネットワークのセンサーによれば、ワームは火曜から
感染を始めました。

何百万という被害のあったMSBlastや何十万という被害の
 Microsoft SQL Slammerとは比較にならないものの、 MySQL
ワームは違う理由で大きな意味があります。これは技術的には
ワームではありません。 botソフトの例はコンピュータに感染
してそのコントロールを握ることです。そういった
プログラムはたくさんありますが（Symantecのカタログには6,500
以上載っています。)、 MySQL ワームが示したようにこれらの
多くは広く感染するプログラムに変わる可能性があります。

Friedrichsは「現在なにがワームかどうか定義するのが難しいく
なっています。全ての異なった問題の間の識別が困難になって
います。」と述べた。

Botソフトはインターネットで大きな問題を提起しています。なぜなら、
このプログラムに感染したコンピュータは攻撃した人に
よって支配されてしまうからです。つまり、ウエブサイトへの
無差別攻撃やトレースの出来ないスパムやデータの盗難
につながるのです。攻撃の元を辿っても感染したコンピュータに
到達するだけです。大分のユーザは自分のコンピュータにこの
ようなワームが潜むことすら知りません。

botソフトに支配されたコンピュータ群は botとかゾンビーと
か呼ばれ昨年6月にはISPのAkamaiのネットワークの正常な
機能を乱しました。

SymantecがSpybot.ivqと呼ぶMySQLワームはこういったプログラムが
自動的にガードの緩やかなシステムを探しだしそのコンピュータに
侵入するという危険をよく示しています。

木曜にMySQLデータベースを開発するMySQL ABはbotソフトが弱いパスワード
を利用して拡散さしたことと、WindowsではMySQLが権限の大きい
モードで実行されることを強調しました。MySQLのセキュリティ・チーム
はMySQLデータベースの管理者が感染を調べ、問題があれば対処
するための勧告を発表しました。

MySQLでユーザーが関数を定義できることは機能で問題では
ないとMySQLのマーケティング担当副社長が語りました。続けて、
「この問題はWindows上でユーザーがパスワードやファイアオール
を正しくセットしないことによりますが、私達はユーザが
セキュアーな実行環境をを設定するための手助けをすることを宣言
します。この問題はWindowsに限った問題でLinuxでは起こらないと
思います。」と続けた。

LinuxやBSDUのようなUnix系のシステムはサーバーを別のユーザと
して実行するため、多くの重要なシステム関数をワームから
守ります。

Next-Generation Security Software (NGSSoftware) が昨年7月
に発表したレポートはMySQLデータベースのユーザ定義関数を
利用してWindowsコンピュータを感染させる仕組みについて
述べています。そのためのコードは昨年12月にインターネット上
で発表されたばかりでした。

Microsoftはこの問題に関してWindowsで解決できるか
まだコメントを発表していません。
---------------------
Zen Kishimoto                        zen@xxxxxxxxxx
IP Devices, Inc.                       (408) 567-9391
2175 De La Cruz Blvd., Suite 10  (801) 720-8847 (FAX)
Santa Clara, CA 95050