オラクルDBをねらう初のワーム実証コードが登場

Joris Evers (CNET News.com) 2005年11月02日 15時33分

  • このエントリーをはてなブックマークに追加

 Oracleデータベースを標的とする初のワームと考えられるプログラムのソースコードが、セキュリティ関連メーリングリストに投稿された。電子メールのタイトルは「Trick or Treat Larry(「Larry、お菓子をくれないといたずらするぞ」いう意味。Trick or TreatはHalloweenでお馴染みの掛け声。LarryはOracle CEOの名前)」だった。

 匿名の人物が米国時間10月31日に人気の高いメーリングリスト「Full Disclosure」に投稿した同コードは、ネットワークに接続されているOracleデータベースを探し出すワームのもの。標的を発見すると、複数のデフォルトユーザーネームおよびパスワードを組み合わせて用い、ログインを試みるという。同ワームは、アクセスが許可された場合、攻撃の一環としてデータベース内にテーブルを作成すると、ネットワーク上の脅威を調査するSANS Internet Storm Center(ISC)は述べている。

 SANS ISCのブログには、「現段階では、このワームはそれほど深刻な脅威というわけではない。だが、さまざまな拡散手段を持つ同ワームの亜種が将来出現する徴候であると受け止めることはできる」と記されていた。

 同ワームは攻撃の一例を提示する、いわゆる概念実証コードで、不特定多数に対し無作為に攻撃を実行するものとは異なる。Oracleセキュリティの専門家で、ドイツのRed Database Securityを経営するAlexander Kornbrustは、「わたしが知る限り、これはOracleデータベースを狙った初めてのワームだ」と話した。Microsoftの「SQL Server」やオープンソースの「MySQL」は、かつて不正プログラムの標的になったことがある。

 Kornbrustは電子メールによるインタビューに応じ、「この特殊なワーム自体の危険性は低いが、さまざまな可能性を十分に持っている」と述べ、「これは、データベースの安全性をさらに高めよ、というデータベース管理者に向けたメッセージでもある」と話した。

 Oracleはこのところ、セキュリティに関して注目を集めるようになっている。カリフォルニア州レッドウッドに拠点を置くソフトウェアメーカーOracleは、セキュリティに対する取り組みについて批判され、セキュリティ研究家らとの関係も悪化している。しかし、今回のワームコードが添付された電子メールの件名ともなった、同社CEOのLarry Ellisonは、Oracle製品の安全性を今も喧伝している。

 英国ヨークに居住するOracleセキュリティ専門家Pete Finniganも10月1日、Kornbrustと同様のコメントをブログに投稿した。「脆弱なデータベースを運用している者にとっては、不安の種となる出来事だ」(Finnigan)

 この対Oracleワームは、「SQL Slammer」ワームとは異なり、実際にデータベース内に侵入して保管データに干渉できる点が特に懸念されていると、セキュリティベンダーImpervaのCEOであるShlomo Kramerは指摘している。

この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ

  • このエントリーをはてなブックマークに追加
関連キーワード
セキュリティ

関連ホワイトペーパー

SpecialPR

連載

CIO
ハードから読み解くITトレンド放談
大木豊成「仕事で使うアップルのトリセツ」
研究現場から見たAI
ITは「ひみつ道具」の夢を見る
内製化とユーザー体験の関係
米ZDNet編集長Larryの独り言
今週の明言
「プロジェクトマネジメント」の解き方
田中克己「2020年のIT企業」
松岡功「一言もの申す」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
Fintechの正体
内山悟志「IT部門はどこに向かうのか」
情報通信技術の新しい使い方
三国大洋のスクラップブック
大河原克行のエンプラ徒然
コミュニケーション
情報系システム最適化
モバイル
通信のゆくえを追う
セキュリティ
企業セキュリティの歩き方
サイバーセキュリティ未来考
セキュリティの論点
ネットワークセキュリティ
スペシャル
Gartner Symposium
企業決算
ソフトウェア開発パラダイムの進化
座談会@ZDNet
Dr.津田のクラウドトップガン対談
CSIRT座談会--バンダイナムコや大成建設、DeNAに聞く
創造的破壊を--次世代SIer座談会
「SD-WAN」の現在
展望2017
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
AWS Summit
PTC LiveWorx
古賀政純「Dockerがもたらすビジネス変革」
さとうなおきの「週刊Azureなう」
誰もが開発者になる時代 ~業務システム開発の現場を行く~
中国ビジネス四方山話
より賢く活用するためのOSS最新動向
「Windows 10」法人導入の手引き
Windows Server 2003サポート終了へ秒読み
米株式動向
実践ビッグデータ
日本株展望
ベトナムでビジネス
アジアのIT
10の事情
エンタープライズトレンド
クラウドと仮想化