SQLScanを使ってSlammer未対策マシンを見つける
0.改訂履歴
- 2003.04.02 新規作成
1.はじめに
このドキュメントでは,米Foundstoneが無償で提供しているSQLScan 1.00を使って,ネットワーク上のSQL Server2000やMicrosoft SQL Desktop Edition(以降"MSDE"と略)を発見し,Slammer対策パッチが適用されているかを確認するツールの利用方法を説明する.
2.Slammerについて
- Slammerとは,2003年1月末に韓国のネットワークをダウンさせた,ワームの事.
- ワーム(アスキーデジタル用語辞典)
- Slammerの発見やニュースは次のレポートを読むとわかりやすい.
- 速報:UDP/1434ポート宛のパケットが急増、新種のワームの可能性も
- 続報:犯人は「Slammer」——各社が新種のワームを警告
- 元になったセキュリティホールを伝えるニュースは次の通り.
- SQLサーバに再び深刻なセキュリティホール
3.このSQLScanが必要になる理由
- このSlammer問題を分析したニュース記事が次のようにまとめられている.
- Slammerが残した真の問題点と教訓
- ここで注目したのが,「ユーザーが気づかないうちインストールしている可能性」という部分.
- MSDEは,アプリケーションと一緒に無料で再配布可能なランタイムエンジンなので,人知れずインストールされている可能性がある.
- ご参考:SQL Server/MSDEを同梱している製品
- SQL Server2000が明確に稼働しているという認識が有ればパッチ適用を考えることも出来るが,稼働していることを認識していない場合はそれは難しくなる.
- よって,ネットワーク上でSQL Server2000およびMSDEを検出する必要がある.
- それを行うためのツールが,SQLScanである.
4.モジュールの入手
- SQLScannerは,以下のサイトで無料ダウンロードが出来る.(ダウンロード前にユーザ情報の提供が必要)
- SQLScan V1.0.0 SQL "Slammer" worm scanner
- モジュールは,ZIPで20KB程度の小さいものである.
5.使ってみる
- ダウンロードしたZIPファイルを展開すると次のような2つのファイルが出来る.
- 特にインストールは不要.
- SQLScan.exeを実行する.
- Slammerについての説明が書かれている.
- 起動すると次のような画面が表示される.
- スキャンするネットワークの範囲を設定する.
- ここでは,10.0.1.1〜10.0.1.254までの範囲をスキャンする対象として追加しているサンプル.
- 複数のサブネットを登録することも出来る.
- プレイボタン?を押すとスキャン開始.
- 思わず動いていないはずのSQL Serverを発見.
- というか,これは某勤怠&入出管理用オフィスシステム(つまりIDカードでピッてやって部屋に入る奴)のバックエンドにSQL Serverが動いていたというようなことでした.