オラクル、30件以上の脆弱性修正パッチをリリースへ--いまだ詳細は不明

　データベースソフトウェアメーカーのOracleは3日（米国時間）、英国のセキュリティ専門家が発見した30件以上の脆弱性を修正するパッチを早急に公開すると発表した。

　この脆弱性の詳細は公表されていないが、セキュリティソフトウェア会社の英Next Generation Security Softwareでマネージングディレクターを務めるDavid Litchfieldは、先週ラスベガスで開催された「Black Hat Security Briefings」で、この問題に関する概要の一部を明らかにした。

　Oracleは、CNET News.comに宛てた声明のなかで、「Oracleではセキュリティの問題を真剣に受け止めており、わが社の製品に内在する安全性を信じつつも、一方で常にその改良に取り組んでいる」と記している。「Oracleは問題箇所を修正した。まもなくセキュリティアラートを出すことになるだろう」（Oracle）

　Oracleのデータベースに脆弱性が存在するとの情報は先週明らかにされるはずだったが、Litchfieldはこれらを修正するパッチがまだ揃っていなかったことから、この公表を延期していた。同氏が最初にOracleに問題を指摘したのは今年1月のことだが、このなかには脆弱性のレベルが「非常に重要」に分類されるものもいくつか含まれていた。

　Litchfieldは3日、Oracleに対してデータベースソフトウェアに脆弱性が存在することを何度も指摘したにも関わらず、同社はセキュリティ情報のリリースに関する社の方針が変更中であることを理由に、いまだにパッチを1つも公開していないと述べた。同氏はさらに、Oracleがパッチのリリースを遅らせたことについて、同社が顧客よりも自社の利益を優先していると付け加えた。

　「この脆弱性にはさまざまなものがある。Oracleは事実上、自社の顧客を不必要なリスクにさらしたまま放置している。パッチの作成に数カ月もかかるというのは、Oracleに先見の明が欠けていることの証拠だと思う」（Litchfield）

　Oracleは6月に、「Oracle 11i E-Business Suite」に見つかった非常に重要な脆弱性を修正するパッチをリリースしている。

　Litchfieldは、ハッカーがOracleの顧客に対してすぐにも攻撃を仕掛ける恐れがあるとして、この問題の詳細を明らかにはしなかっったが、それでも問題は大小さまざまで、いわゆるバッファオーバーフローから不十分なパスワード保護まで多岐にわたると述べた。同氏によれば、なかにはユーザー名やパスワード情報なしにOracleシステムにアクセスできるといったケースや、アクセスが制限されているユーザーがひそかに自分のステータスを管理者レベルに上げられるケースもあるという。

　LitchfieldがOracleのソフトウェアのなかにあるセキュリティーホールを積極的に探し始めたのは2年前のことだが、この時同社は「unbreakable」というマーケティングキャンペーンを立ち上げ、同社データベースソフトの強力なセキュリティ機能を売り込んでいた。Litchfieldは同僚らの手を借りながら、わずか24時間の間に50件近い欠陥があるのを発見した。