2003年にこの世に出現したマルウェア「SQLスラマー」は、その名の通りMicrosoftのSQLサーバーの脆弱性を突くワームである。極めて短時間にインターネット回線のトラフィックを増大させた事件を起こしたことによって、今でも専門家には悪夢として記憶されている。
この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。
2003年1月25日の土曜日、後に「SQLスラマー(Slammer)」として知られるようになる貪欲なコンピューターワームがインターネットを襲った。そのワームは特定のバージョンのMicrosoftのSQL(データベースとのやりとりを行う言語)のバグを通してインターネット上に瞬時に広がり、わずか数分のうちに75,000台のコンピューターに感染したとみられている。世界全体では、合計250,000台のコンピューターにその影響が及んだと推定される。
SQLスラマーの蔓延
SQLスラマーは、2001年の「コードレッド」ワーム以来、最も広く蔓延したワームであり、絶頂期には8.5秒ごとにその数を倍増していった。韓国は当時世界中で最も通信網の発達した国の一つであったが、この件でインターネットと携帯電話の接続障害を起こし2,700万人が影響を被った。また、米国ではバンクオブアメリカのほぼ全てのATM13,000台が一時的にその接続を断たれたのである。
ワームによる障害は短期間で収束したが、瞬時に拡散したその様は非常に危機的なものであった。この一件はサイバーセキュリティ知識の不足、サイバー攻撃の悪質さと瞬時に広まるそのスピード、そしてまさに世界中がテクノロジーによって互いに結び付けられてしまっている様を世に知らしめたのである。
SQLスラマーの起源
後に「SQLスラマー」と呼ばれるワームとなるその萌芽は、もともとセキュリティ専門家のデビット・リッチフィールド(David Litchfield)氏によって発見された。2002年、リッチフィールド氏はMicrosoft SQLサーバーの特定のバージョンに組み込まれている予防メカニズムを回避する方法を2つ、善意の意図を持って開発した。彼は欠点を明らかにし、それをMicrosoft社に報告した。Microsoftが修正点を見つけるようサポートしたのである。
ほどなくしてパッチが開発された。だから後に彼がブラックハットの会合で発言したときには、彼は感染の危険性を人々に警告するだけではなく、パッチがすでに利用可能となっていることも公表できたのである。Microsoft SQLサーバーのバッファオーバーフローの脆弱性を修繕しなければ感染の危険にさらされるだろう、と彼は述べた。
だがその後明らかになるように、SQLスラマーはたった376バイトの長さのコード(文章で言えば、ほんの短い段落程度に相当する)ではあったが、やがて問題とされるバッファオーバーフローによって拡散することになるのである。
いったんサーバーが感染すると、ワームは自分の複製を作り、攻撃の新たな標的を探し出す。このプロセスは1,000分の1秒単位で繰り返される。そのために複数のシステムがほとんど瞬時にして感染することを可能としてしまうのである。ワームが発生してから、その伝染力は衰えることは決してなかった。
秩序の回復
スラマーの修繕は比較的単純である。システムが再起動でき、パッチがインストールされていれば、問題は直ちに修復される。
また、リサ・マイヤーズ(Lysa Myers、ESETセキュリティ研究者)が指摘するように、SQLスラマーはファイルという形をとらず、これは当時全く新しいテクニックであったが、メモリーの上に存在するだけで自分自身を直接ディスク上に書き込むことはしない。それゆえ、それは容易に取り除くことができるのである。
技術者とセキュリティ専門家たちは、何が起こっているかに気が付くとすぐに対応して修復を図った。そして事態は鎮静化していった、とアリエ・ゴレツキー (Aryeh Goretsky、ESET上級研究員)は回想する。
「私はその週末をつぶして、車で顧客を回りました。サーバーとネットワーク機器をシャットダウンし、それからもう一度立ち上げました」「月曜か火曜の晩には通常の状態に戻ったと思います」
SQLスラマーの衝撃
こうして、インターネットは稼働し始めた。ただしそれを取り巻く状況は良いことばかりではなかった。SQLスラマーは、実にたやすく修復できるものではあったが、一方、防御の種々の裂け目をも露呈させたのである。
「復旧の過程で、この事件のためにわれわれが改善すべきさまざまなことがあらわになりました。その中でも最も重要なことは、責任のある情報開示とパッチの提供に関することです」とマイヤーズは説明する。「たとえすでにパッチを作られた脅威に対してであっても、概念実証コードを公開することで現実にダメージを被る可能性が逆に高まってしまう、ということをSQLスラマーは人々に周知させました。そして多くの人々が即座にパッチを当てるのがいかに重要なことか、痛い思いをしながらも学習したのです」
その攻撃は情報セキュリティへの「モーニングコール」でもあった。ゴレツキーが強調するように、セキュリティソリューションが肝となる。「当時ほとんどのユーザーはウイルス対策ソフトを使用していました。けれども、ファイアウォールにお金を使わないという人たちも少なからず存在していたのです」
「この傾向は2003年から変わり始めました。人々は多重防御というアプローチを採用しだし、セキュリティのレイヤー(層)という考えにも注意を払うようになってきたのです」
SQLスラマーは最初のワームではなかったし、最後のワームではないのも確かだが、その独特の攻撃の仕方が、その後の情報セキュリティのあり方に深い影を落としたことは間違いない。
