MySQLを攻撃するワーム出現、rootパスワードを破る

2005/1/29

 米SANS Instituteなど複数のセキュリティ団体は1月27日(米国時間)、オープンソースのデータベースソフトウェア「MySQL」に感染するワームが広がっていると警告した。すでに数千のサーバに感染を広げているという。感染するとサーバのrootが乗っ取られる。防御方法としてSANS Instituteはrootのパスワードを見直して、推測しにくいパスワードに変更することを推奨している。

 このワームは「MySQL Bot」や、MySQLのUser Defined Function機能を使うため「MySQL UDF Worm」などと呼ばれている。Windows上で稼働するMySQLにだけ感染し、UNIXやLinuxで稼働するMySQLには感染しないという。

 感染方法は、rootのパスワード破りだ。MySQL BotはランダムなIPアドレスから感染可能なMySQLサーバを探し出し、MySQLのrootとしてログインしようとする。MySQL Botはよく使われるパスワードのリストを持っていて、そのパスワードで次々にログインを試みる。推測されやすいパスワードを設定している場合は、侵入を許してしまうことになる。

 MySQL Botに感染したサーバは乗っ取られて、特定のIRCサーバに接続しようとする。IRCサーバに接続すると、新たな攻撃先を見つけるなどの動作を行うという。SANS Instituteによると、IRCサーバに接続を試みたホストは8500台以上あるといい、多くのサーバがすでに感染しているとみられる。MySQL BotはMySQLの脆弱性を攻撃するのではなく、パスワードをリストを使って侵入する種類なので、パスワードをより強化にするのが有効な対策のようだ。

(@IT 垣内郁栄)

[関連リンク]
米SANS Instituteの発表資料

[関連記事]
Windows対応のPostgreSQL 8.0、大規模システム浸透を狙う (@ITNews)
Oracleと比較するとPostgreSQLは使える? 使えない? (@ITNews)
LinuxとWindowsのTCOを「勝手に計算」 (@ITNews)
旅客機でいえばMySQLはエコノミークラス (@ITNews)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)