最近の事例では、ハッカーがMicrosoft SQL Server(MSSQL)サーバーの開いているTCPポートを標的にし始めていることが確認されています。管理者がパスワードの重要性を認識しているにもかかわらず、データベースには脆弱なパスワードが設定されています。その理由としては、オペレーターの使いやすさ、セキュリティ意識の欠如、あるいは単にリスク要因を過小評価していることなどが考えられます。
デフォルトでは、Microsoft SQL は管理者ユーザーとして「SA」を使用して TCP ポート 1433/1434 で実行されます。
Microsoft SQL ブルートフォース攻撃フロー:
- 攻撃者はポートスキャン技術を使用して、ターゲットシステムの開いているポートを特定します。
- 攻撃者はポート1433/1434が開いている状態を発見すると、デフォルトの管理者アカウントであるSAログインに対してブルートフォース攻撃を開始します。
- 攻撃者は通常、データベース管理者が使用する最も一般的なパスワードの辞書を保持しているため、ほとんどの場合、攻撃はより速く、成功します。
- 攻撃者が「SA」ユーザーにアクセスすると、データベースへの完全なアクセスが可能になります。Microsoft SQL Serverに脆弱性があり、攻撃者がオペレーティングシステムへの完全なアクセスを取得できる場合、攻撃者はシステムをさらに悪用する可能性があります。
感染の指標:
- Microsoft SQL 'SA' ユーザーのパスワードが知らないうちに変更されました
- 「SA」ユーザーへのアクセスが複数回失敗しました
この攻撃がどれほどの被害をもたらすか:
- ハッカーは、あらゆる組織の不可欠な部分であるデータベースの管理アクセス権を取得することができ、その結果、データの損失やデータの盗難が発生する可能性があります。
この攻撃からシステムを守る方法:
- 「SA」ユーザーのようなデータベースユーザーに複雑なパスワードを設定する
- デフォルトユーザー「SA」を無効にして、同じ権限を持つ別のユーザーを作成します
- 攻撃者が簡単に推測できないように、デフォルトのTCPポート(1433)をランダムなポートに変更します。
- 使用されていない場合は Microsoft SQL (MSSQL) サービスを無効にします。
上記の対策を確実に実施することが、こうした攻撃を未然に防ぐための第一の予防策です。また、「Quick Heal Firewall」のカスタマイズもお勧めします。これにより、ユーザーは個々のニーズに合わせてファイアウォールルールを設定できます。適切に設定されていれば、Quick Heal Firewallはネットワークトラフィックをボトルネックにしてネットワークインフラストラクチャを保護することで、こうした侵入攻撃から保護します。同様の「ファイアウォール設定」については、以前の記事でも取り上げています。 blog RDP ブルートフォース攻撃について。
また、Quick Heal Vulnerability Scanner を使用して脆弱性を特定し、さらにパッチ/修正を行って、悪意のある人物による悪用を回避してください。
了承
主題専門家
• シャンタヌ・ヴィチャーレ
– 脅威調査・対応チーム
