以下は、10年前、我々の1月25日がどのように始まったか、である。

Jan 25 05:31:54 kernel: UDP Drop: IN=ppp0 SRC=207.61.242.67 DST=80.142.167.238 TTL=117 ID=30328 PROTO=UDP SPT=2201 DPT=1434 LEN=384

 上に抜粋したのは、我々が最初に得た、後にSlammer(SapphireまたはSQL Slammer)と呼ばれるようになるワームのログだ。

 Slammerは膨大なネットワーク・トラフィックを生み出した。以下はaverage.matrix.netの古いスクリーンショットで、このワームのせいで世界中でパケット・ロスが急増した様子を示している。

slammer

 以下は当社がこのワームについて発信した最初の警告だ:

 エフセキュアはSlammerと呼ばれる新たなインターネット・ワームについて、コンピュータ・ユーザに警告する。このワームは大量のネットワーク・パケットを生成し、インターネット・サーバに過負荷をかける。メール送信やネット閲覧などすべてのインターネット機能が低速になる。

 このワームは2003年1月25日5時30分(GMT)頃、インターネット上で初めて検知された。その後、世界中に急速に拡散し、インターネット上でこれまでで最大級の攻撃を巻き起こした。報告によると、いくつかの大規模なWebサイトやメール・サーバが使用不能に陥った。

 SlammerはMicrosoft SQL Serverを実行しているWindows 2000 Serverにのみ感染する。そのためエンド・ユーザの機器には脅威ではない。しかしながら、ネットワーク・トラフィックがブロックされることによって、やはりエンド・ユーザにもその作用が見て取れる。

 このワームはUDP 1434番ポートを用いて、MS SQL Serverのバッファ・オーバーフローを突く。Slammerのサイズは極めて小さく、376バイトに過ぎない。拡散するほかに機能はないが、この拡散処理が非常に強力で、極度の負荷を招く。

 ワームはどのファイルにも感染しないので、感染した機器をリブートするだけで駆除することができる。しかしもし機器がネットワークに接続され、MS SQL ServerにSP2もしくはSP3が適用されていなければ、直ちに再感染する。

 かつてこれほど小さなウイルスが、このような速度でここまでの損害を与えた例を、当社でも見たことがない。Slammerについての技術的な解説や図表についてはhttp://www.f-secure.com/v-descs/mssqlm.shtml
(注意:このリンクは2013年でもまだ有効だ。)で確認できる。

 Slammerはその小ささにおいて特筆すべきだ。ワーム全体が単一のUDPパケットに収まる。基本的に、ワームはつぶやき5つ分に相当する。コード全体は以下のとおり。

slammer

 この年、後にBlasterやSasserがSlammerに続いた。これらはいずれも現実世界で顕著な問題を引き起こした。

slammer

 Slammerのせいで、我々は何日も忙しかった。私の古いメール・アーカイブには、第1日目に以下の残業報告がある。

slammer

 つまり、2003年の土曜日に、Slammerをデコードしたのは、私とKatrin Tocheva、Gergely Erdelyii、Ero Carrerだった。天気が悪かったと思うが、他には何も覚えていない。

ミッコ