［世界］
「Microsoft SQL Server」の脆弱性修正パッチ、公開は間もなくか

4月に発見されていた脆弱性、マイクロソフトが修正パッチを開発中であることを認める

（2008年12月25日）

　Microsoftは12月24日、前々日の22日に明らかとなった「Microsoft SQL Server」の脆弱性について、8カ月以上前から修正パッチの開発に取り組んでいることを認めた。その一方で、「すでに2008年9月にはパッチを完成させていた」とする、オーストリアのセキュリティ研究者による主張の真偽は明らかにしなかった。

　同社は12月22日、SQL Serverの脆弱性に関するセキュリティ・アドバイザリ（961040）文書を公開している。脆弱性のあるバージョンは、SQL Server 2000/2000 Desktop Engine/2005/2005 Express Editionと「Windows Internal Database」であり、最新のSQL Server 2008や、2005 SP3、7.0 SP4といったバージョンはこの影響を受けないとされている。

　Microsoftの広報担当者が24日に明らかにしたところによれば、同社は「あるセキュリティ研究者からの第一報に基づき、2008年4月から同ぜい弱性の調査を開始している。報告を受けてからすぐに調査を開始しており、現在も継続して調査に取り組んでいる」という。

　上述の「あるセキュリティ研究者」とは、ウィーンに拠点を置くセキュリティ・コンサルティング会社、SEC Consult Securityのバーナード・ミュラー（Bernhard Mueller）氏のことだ。同氏は脆弱性の報告後、Microsoftから何の音沙汰もないのにしびれを切らし、12月9日に同脆弱性の詳細と攻撃実証コードを公開した（関連記事）。

　ミュラー氏がSEC Consultのサイトやセキュリティ関連のメーリング・リストで明らかにした内容によると、同氏が脆弱性の存在をMicrosoftへ報告したのは、2008年4月17日のことだった。Microsoftからは幾度かの返答があり、9月29日に最後の返答があった。その後、ミュラー氏は10月から11月にかけ、計4回にわたり脆弱性修正パッチの公開を求めていたという。

　同氏はまた、9月にMicrosoftからパッチを完成させた旨の連絡を受けていた事実も明らかにした。前述のMicrosoft広報担当者は、ミュラー氏が指摘した修正パッチの存在についてはコメントせず、「現時点では、Microsoftは（同脆弱性に対する）セキュリティ・アップデートを提供していない」と述べるにとどまった。

　だが、セキュリティ専門家の中には、Microsoftが間もなくパッチをリリースするだろうと予想する者もいる。

　セキュリティ企業であるQualysのCTO（最高技術責任者）、ウォルフガング・カンデック（Wolfgang Kandek）氏は、「Microsoftは今まさにパッチの仕上げにかかっているところだ。もうすく、緊急リリースという形で提供されると思われる」と述べた。

　Microsoftは、毎月の定例パッチ・リリースとは別に、緊急リリースもしくは定例外リリースと呼ばれるアップデートを行う場合がある。次回の定例アップデートは2009年1月13日に予定されているが、まだ3週間も先の話だ。

　カンデック氏は、先日緊急リリースされたIEのパッチよりも、今回のSQL Serverのパッチを適用する作業の方が、企業にとっては“悩みの種”になるだろうと話す。「大半の企業において、SQL Serverはシステムのコアを成す部分に組み込まれており、パッチを適用して、脆弱性が修正されるかどうかをテストするにはかなりの時間がかかる。したがって、すぐにパッチを適用することはできないだろう」（カンデック氏）。

　Microsoftは、パッチを提供する代わりに、脆弱性の悪用につながるストアド・プロシージャへのアクセス拒否措置を採るよう勧告している。23日にはセキュリティ・アドバイザリの「推奨するアクション／回避策」の項目が更新され、上述のアクセス拒否設定を行うスクリプトが公開されている。Microsoftで広報担当を務めるビル・シスク（Bill Sisk）氏は、Microsoft Security Response Centerのブログにおいて、「このスクリプトは動作中のSQL Serverインスタンスすべてに対し適用される。『public』ユーザーへのアクセス権限（execute：実行）を拒否する設定を、ストアド・プロシージャ『sp_replwritetovarbin』に対して実行する」と説明している。

　Qualysのカンデック氏は、Microsoftのアドバイザリを参考に対策を行うことをユーザーに推奨している。

　「SQL ServerはEコマースや人事関連などの重要なアプリケーションで利用されているが、そうしたアプリケーションから個人情報が漏洩したり、アプリケーションが不具合を起こしたりするおそれがある。利口な攻撃者が、この脆弱性をフィッシングなどほかの攻撃手段と組み合わせて悪用し、企業がファイアウォールで保護している情報を盗み出すことはそれほど難しいことではない」（カンデック氏）

(Gregg Keizer／Computerworld米国版)