編集部からのお知らせ
「サイバー防衛」動向の記事まとめ
「半導体動向」記事まとめ

オラクルDBのユーザーバスワード保護システムに専門家が警鐘

Joris Evers(CNET News.com)

2005-10-28 15:04

 Oracleデータベースのユーザーが使用するパスワードが、脆弱な保護機能のせいで漏洩しやすくなっていることから、企業データが漏洩の危険にさらされていると、専門家が警鐘を鳴らした。

 専門家らは、Oracleにデータベースユーザーのパスワードを保護する機能を改善するよう求め、同社の安全性への取り組みに対する姿勢をあらためて批判している。Oracleデータベースのパスワードは、強固かつ適切に設定されている場合でも、数分のうちにそれをシンプルなテキスト形式へ変換する方法があると、これらの研究者は指摘している。

 SANS InstituteのJoshua Wrightと、ロンドン大学ホロウェイカレッジのCarlos Sidは、Oracleがユーザーパスワードの保存に使用している暗号化技術に、十分な安全対策を施していないと指摘している。Wrightは米国時間26日、ロサンゼルスで開催された「SANS Network Security」カンファレンスで、この問題に関するプレゼンテーションを行った。

 SANSでの発表で、WrightはOracleデータベースのパスワード暗号化および保存方法を明らかにし、パスワードを解読する自作のツールを使用してみせた。WrightとCidがまとめた研究報告書は、SANSのウェブサイトで公開されている。

 WrightとCidは、ハッシュ化機能の強度が低い、すべてのパスワードがハッシュ計算前に大文字に変換されてしまうので文字形式を保存できないなど、複数の脆弱性を挙げている。

 両氏の報告書には、「こうした脆弱性を悪用することで、攻撃者は少ない材料で攻撃を仕掛けられ、任意のユーザーのハッシュをテキスト形式のパスワードに復元することが可能になる」と記されている。

 SANSは、Oracleに対して7月に同脆弱性に関する報告を行ったが、その後同社がこの問題に対する回答を求めても、Oracleからは何の連絡もないという。Oracleは、CNET News.comに対してもコメントしていない。

 Oracleユーザーは、強固なパスワードを設定し限定的なユーザー権限を割り振ることでシステムを保護できると、WrightとCidは述べている。同時に、ユーザーはOracleにパスワード保護機能を改良するよう促すべきだと両氏は主張している。

 このところ、Oracleに対しては、その安全性への取り組みをめぐって批判が高まっている。研究者らは、セキュリティ問題をなかなか修復せず、ソフトウェアのアップデート時に欠陥のあるパッチを提供したとして、Oracleの責任を追及している。

この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. 開発

    なぜ、コンテナー技術を使うことで、ビジネスチャンスを逃さないアプリ開発が可能になるのか?

  2. セキュリティ

    2022年、セキュリティトレンドと最新テクノロジーについて、リーダーが知っておくべきこと

  3. ビジネスアプリケーション

    全国1,800人のアンケートから見えてきた、日本企業におけるデータ活用の現実と課題に迫る

  4. 運用管理

    データドリブン企業への変革を支える4要素と「AI・データ活用の民主化」に欠かせないテクノロジー

  5. 経営

    テレワーク化が浮き彫りにしたリソース管理の重要性、JALのPCセットアップを支えたソフトウエア

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]