PR
米US-CERTが公開する「Current Activity」
米US-CERTが公開する「Current Activity」
[画像のクリックで拡大表示]

 セキュリティ組織の米US-CERT米SANS Instituteなどは現地時間10月31日以降,Oracle Databaseが稼働するマシンを狙うワーム(ウイルス)が公開されているとして注意を呼びかけている。

 公開されているワームは,Oracle Databaseがデフォルトで用意しているユーザー名/パスワードを使ってマシンへの侵入を試みる。侵入に“成功”したワームは新たなテーブルを作成するだけで,ほとんど害は及ぼさない。このため,ワームを作成することが可能であることを示す「Proof-of-Concept Code(実証コード)」であるとされている。

 だが,悪質な挙動をするように改変することは難しくない。現在公開されているワームのコードを基に,危険なワームが作成される可能性がある。データベース・サーバーの管理者は注意したい。

 対策として,US-CERTなどではデフォルト・アカウントを無効にすることや,デフォルト・アカウントのパスワードを変更することなどを勧めている。TNS Listenerがアクセスを待ち受けるポートを変更すること(デフォルトのTCPポート1521番以外に変更すること)やデータベース・サーバーへアクセスできるマシンを制限することなども対策となる。

 今回のワームに限らず,サーバー・ソフトのデフォルト・アカウントを使って侵入を試みるワームは以前から存在する。例えば,2002年にはSQL Serverのデフォルト・アカウントを悪用する「Spida」ワームが感染を広げている(関連記事)。

 デフォルト・アカウントの悪用は,攻撃者やワームの常套手段の一つ。不要なアカウントは無効にしていること,デフォルト・パスワードは変更していることなどを,サーバー管理者は改めて確認したい。

◎参考資料
Oracle Worm Proof-of-Concept Code(米US-CERT)
Oracle Worm Proof-of-concept(米SANS Institute)