米セキュリティ研究機関System Administration Networking and Security Institute(SANS Institute)の一部門であるInternet Storm Center(ISC)が,オープンソース・データベースMySQLを悪用してWindowsシステムに感染するボット「MySQL Bot」について,米国時間1月27日に警告を発した。感染すると,IRCサーバーに接続してシステムを外部から操作可能な状態にし,伝染可能なほかのシステムを探す。これまでに数千システムの感染を確認したという。
ボットは,外部からの命令を受け付けて動作する悪質なプログラム(マルウエア)。IRCを使うボットの場合,感染したシステムを特定のIRCチャンネルに接続する。攻撃者がそのチャンネルにテキスト・データをコマンドとして送信すると,感染システムを操れる。
MySQL Botは,MySQLのぜい弱性を突くのではなく,セキュリティ設定の不十分なrootアカウントを悪用する。ボット内部のパスワード一覧を使ってブルートフォース(総当たり)攻撃を仕掛け,MySQLからrootユーザーとして認証を受けることで感染する。
感染に成功すると,「mysql」という名前のデータベースを使って「bla」というテーブルを作る(mysqlはMySQLをインストールすると必ず作成されるデータベースで,通常パスワードなどの管理用情報を保存している)。その後,blaテーブルを介して実行ファイルapp_result.dllを作り,5002番または5003番のポート経由で外部のIRCサーバーへの接続を試みる。
「同ボットを操作するIRCサーバーのIPアドレスは,ダイナミックDNSを利用しているために変わってしまう。我々が最後に接続できた時点で,約8500システムがこうしたIRCサーバーに接続していた」(ISC)
感染を防ぐ対策としてISCは,強力なパスワードの使用,rootアカウントの制限,ファイアウオールによる不要なポートの遮断を推奨している。
◎関連記事
■「ITマネージャが考える2005年ネットワーク・セキュリティの脅威はスパイウエア」,米WatchGuard
■2004年12月のウイルス被害状況,新たなワーム「Zafi-D」が全体の4割近くを占める
■インターネット上の新たな脅威「ボット(bot)」に気をつけろ!(上)
■「『Netsky』がダントツ,ボットも“上位”に」――トレンドマイクロの2004年ウイルス・レポート
■「2004年のウイルス被害ワースト1は『Netsky-P』,Netsky亜種が全体の41.6%」,英調査
■1万台を超えるパソコンで構成された“攻撃用ネットワーク”が確認される
■「セキュリティ最大の課題は,ユーザーの認識の低さ」,米Evans Data調査
■Wittyワーム
[発表資料へ]
