「オラクルはセキュリティ脆弱性を2年も放置」--独の研究者が主張

　Oracleの一部の製品に、パッチが公開されていない深刻な欠陥が存在していると、ドイツのあるセキュリティ研究者が述べている。この研究者の主張によれば、Oracleはこれらのバグについて2年前から知っていたが、それでも手を打たなかったという。

　Red Database Securityのセキュリティ研究者、Alexander Kornbrustは現地時間19日、Oracle製品に存在する6件の脆弱性について注意を呼びかけた。このうちの5つは、Oracleのレポーティングツール「Oracle Reports」のもので、残りの1つは「Oracle Developer Suite」の一部で、アプリケーション開発に用いられる「Oracle Forms」のなかに見つかったものだ。

　「私はこれらのバグについて2年前に報告していた」とKornbrustはCNET News.comに宛てた電子メールに記している。Kornbrustは今年4月、Oracleに圧力をかけてパッチを提供させるために、同社が7月のセキュリティアップデートでパッチを発行しなかった場合、これらの脆弱性に関する詳細情報を公開すると通告していた。

　Kornbrustが発表した警告によると、6つの脆弱性のうち最も深刻なものが攻撃者に悪用された場合、Oracleユーザーのシステムが乗っ取られる可能性があるという。Kornbrustは、6つの脆弱性のうちの3つのリスク度を「高」、2つを「中」、1つを「低」にそれぞれ分類している。同氏によると、これらの脆弱性は最新の10gバージョンを含め、さまざまなOracle製品に影響を与えるという。

　Kornbrustの脆弱性報告に関して、Oracleはコメントを控えた。だが、Oracleの関係者は、脆弱性の詳細情報はパッチが提供されるまで開示されるべきではないとの考えを口にした。

　「セキュリティ研究者が、業界のベストプラクティスとは反する行動に出たことを残念に思う」（同関係者）

　Kornbrustはセキュリティ業界で尊敬を集める研究者だと、VeriSignのiDefenseやeEye Digital Securityのセキュリティ専門家らは述べている。Kornbrustは過去にもOracle製品のなかにあった脆弱性を発見しており、Oracleもこの時には脆弱性を修正したという。

　eEye Digital Securityの製品マネージャ、Steve Manzuikは、セキュリティ欠陥に関する情報を一般に開示することは、Oracleが問題を修正するように急かすことになるが、同時に攻撃のリスクを上昇させるものでもあると述べている。

　Oracleがこの脆弱性を放置していたとKornbrustが主張する時間はひどく長いと、iDefenseのラボディレクター、Michael Suttonは言う。「もし本当なら、これは私がこれまで目にしてきたなかでも最悪の例だ。Oracleがこの嫌疑に公式に回答することを願っている。顧客には説明を受けるだけの資格がある」（Sutton）