50万台のDBサーバがファイアウォールを未搭載――専門家の調査で判明/index/rss|システム運用管理|トピックス|Computerworld

　自社のデータベース（DB）サーバが安全だと思っているなら、再確認の必要がある。セキュリティ研究者のデービッド・リッチフィールド氏によると、ファイアウォールで保護されていない無防備なDBサーバがインターネット上に50万台近く存在するという。

　リッチフィールド氏は、ランダムに生成した100万個強のIPアドレスを調べ、「Microsoft SQL Server」とOracle DBの予約IPポートにアクセスできるかどうかを確認。その結果、157台のSQL Serverと53台のOracle DBにアクセスできたという。同氏はその後、インターネット上の推定システムを利用して次の結論に達した。「インターネット上には、直接アクセス可能なSQL Serverが約36万8,000台、Oracle DBが約12万4,000台存在する」

　英国NGSソフトウェアでマネージング・ディレクターを務めるリッチフィールド氏が、この種の調査を行ったのは今回が初めてではない。同氏は2年前に初の「Database Exposure Survey」を発表し、約35万台の無防備なSQL Server、Oracle DBが存在すると警告を発した。

　2007年版のDatabase Exposure Surveyは、11月19日にリッチフィールド氏のWebサイトで公表される予定である。今回、IDG News Serviceは調査結果の仮原稿の提供を受けた。

　仮にファイアウォールがなければ、DBはハッカーに丸見えで、企業データは危険にさらされる。リッチフィールド氏は、「企業データへの不正アクセスは、過去2年間にかなりの数が報道されている。それにもかかわらず、かつてないほど多くのDBが無防備であると知り、驚いている」と述べている。

　Oracle DBの場合、2007年の推定値は2005年（14万台）よりも実際は減少している。なお、2005年の調査では、SQL Serverの推定値は21万台だった。

　リッチフィールド氏は、無防備なOracle DBの数が減少する一方で、逆にSQL Serverの数が増加している理由は定かではないと語る。「マイクロソフトのSQL Serverは、インストールがほかのDBと比べて割と簡単だ。SQL Serverの増加は単にその結果かもしれない」（同氏）

　2005年の調査においてリッチフィールド氏は、SQL ServerやOracle DBよりもオープンソースのMySQL DBのほうが、よりファイアウォールで保護されていないことを発見した。しかし、2007年の調査ではMySQLは調査対象外であった。

　2007年の調査では懸念事項がもう1つ判明した。これら無防備なDBの多くにはパッチも施されていないのだ。実際、リッチフィールド氏が発見したSQL Serverの4％は、2003年に広まったSQL Slammerワームの攻撃に対し、いまだに脆弱なままだった。「人々はファイアウォールで自衛していないし、パッチの水準は劣悪だ」と同氏は指摘する。

　SQL Serverの約82％は旧式のSQL Server 2000であり、最新のService Packアップデートをインストール済みのものはその半分以下だった。一方、Oracle DBでは13％のサーバが、すでにパッチが提供されていない旧バージョンであることが判明した。これらOracle 9i以前のDBにはセキュリティ上の脆弱性があることが判明していると、リッチフィールド氏は述べている。

　リッチフィールド氏は、無防備なDBの存在がワーム急増の要因だとして懸念を示している。