［米国］
4月に発覚の「SQL Server」脆弱性、マイクロソフトはいまだパッチをリリースせず

しびれを切らしたセキュリティ会社が攻撃実証コードを公開

（2008年12月24日）

　米国Microsoftは12月22日、同社データベース・ソフトウェア「SQL Server」の旧バージョンに存在する脆弱性を狙った攻撃コードがリリースされたとの警告を発表、顧客に対し一時的な対処法を適用するよう促している。同脆弱性は半年以上も前に見つかっていたが、Microsoftはいまだに修正パッチをリリースしていない。

　この脆弱性は今年4月、オーストリアのセキュリティ・コンサルティング企業SEC Consultが見つけたもので、同社はすぐさまMicrosoftに報告した。しかし、Microsoftはパッチのリリース時期をなかなか明確にせず、しびれを切らしたSEC Consultは2週間前の12月9日にコンセプト実証コードを公開した。

　SEC Consultによると、Microsoftは3カ月近く前から修正パッチを用意していたにもかかわらず、リリース時期を明確にしていないという。

　Micorsoftが22日に公開したセキュリティ・アドバイザリ（警告文書）によると、脆弱性の影響を受けるのは、「SQL Server 2000 Service Pack 4」「SQL Server 2005」「SQL Server 2005 Express Edition」「SQL Server 2000 Desktop Engine（MSDE 2000）」「Microsoft SQL Server 2000 Desktop Engine（WMSDE）」「Windows Internal Database（W Yukon）」の6種類である。

　一方、バックエンドのデータベースとして多数のWebサイトに導入されているSQL Serverの新しいバージョンは脆弱性の影響を受けない。具体的には、今年8月にリリースされたばかりの最新版「SQL Server 2008」をはじめ、「SQL Server 7.0 Service Pack 4（SP4）」と「SQL Server 2005 SP3」がこれに該当する。

　Microsoftにはよくあることだが、セキュリティ・アドバイザリを発表したにもかかわらず、同社は今回も脆弱性を狙った攻撃をさほど脅威とは考えていないようだ。同社広報担当者のビル・シスク（Bill Sisk）氏は電子メールでの取材に対し、「エクスプロイト・コードがネット上に公開されたことは確認しているが、現時点で実際にこの脆弱性を突く攻撃があったという報告は入っていない」と語った。

　シスク氏によると、脆弱性を含んだWebアプリケーションが動作しているシステム上で、攻撃者がSQLインジェクション攻撃を通じてサーバにアクセスした場合に、エクスプロイト・コードをリモートで実行できる可能性があるという。

修正パッチのリリースは“未定”

　SQLインジェクション攻撃が成功するケースは決して珍しくはない。悪意あるハッカーたちはこれまで、メジャーな商業ドメインを含む多数のWebサイトの改竄で成果を上げてきた。

　例えば過去数週間だけで、数千という正規サイトが、「Internet Explorer（IE）」の脆弱性を悪用したクラッキングに見舞われ、それらのサイトを訪問したIEユーザーが攻撃の対象となった。この事態を受けて、Microsoftは12月17日、全バージョンのIEに存在する脆弱性に対処すべくパッチを緊急リリースした。同社にとって、こうした緊急リリースは過去2カ月で2件目だった（関連記事）。

SEC ConsultがBugtraqサイトに掲載したSQL Serverの脆弱性情報

　今回の脆弱性は、SQL Serverの拡張ストアド・プロシージャ「sp_replwritetovarbin」に存在する。Microsoftによると、「sp_replwritetovarbin」のアクセスを拒否するよう設定することで攻撃が回避できるとし、前出のセキュリティ・アドバイザリでその方法を示している。

　シスク氏は修正パッチの有無やリリース時期について一切触れず、「当社は同脆弱性に関する調査を継続し、調査終了時点で適切な対処を行う」との常套文句を使った。しかし、SEC Consultのほうは、Microsoftは今年9月の時点でパッチを完成させていたはずだと主張している。

　ウィーンに本社を置く同社は12月9日、同脆弱性の情報とエクスプロイト・コードのサンプルを自社サイトのアドバイザリに掲載すると同時に、BugtraqやFull Disclosurenなどのセキュリティ情報メーリング・リストにも掲載した。

　SEC Consultが公開したアドバイザリによると、同社は9月にMicrosoftからパッチが完成したとの電子メールを受け取ったが、「修正パッチのリリース時期は未定」との内容だったという。

　SEC Consultはさらに、同脆弱性を巡るMicorsoftとのやり取りを明らかにしている。経過を示した表によると、SEC ConsultがMicrosoftに脆弱性を報告したのは今年4月17日で、Microsoftから最後に返信があったのは9月29日。SEC Consultはその後、10月14日・29日、さらに11月12日・28日と、4回にわたりパッチのリリース状況に関する最新情報をMicrosoftに求めたが、返信はなかった。

　Computerworld米国版では、こうしたSEC Consultとのやり取りやパッチの有無・リリース時期に関してMicrosoftにコメントを求めたが、現時点で回答は得られていない。

(Gregg Keizer／Computerworld米国版)