セキュリティ組織の米US-CERTや米SANS Instituteなどは現地時間10月31日以降,Oracle Databaseが稼働するマシンを狙うワーム(ウイルス)が公開されているとして注意を呼びかけている。
公開されているワームは,Oracle Databaseがデフォルトで用意しているユーザー名/パスワードを使ってマシンへの侵入を試みる。侵入に“成功”したワームは新たなテーブルを作成するだけで,ほとんど害は及ぼさない。このため,ワームを作成することが可能であることを示す「Proof-of-Concept Code(実証コード)」であるとされている。
だが,悪質な挙動をするように改変することは難しくない。現在公開されているワームのコードを基に,危険なワームが作成される可能性がある。データベース・サーバーの管理者は注意したい。
対策として,US-CERTなどではデフォルト・アカウントを無効にすることや,デフォルト・アカウントのパスワードを変更することなどを勧めている。TNS Listenerがアクセスを待ち受けるポートを変更すること(デフォルトのTCPポート1521番以外に変更すること)やデータベース・サーバーへアクセスできるマシンを制限することなども対策となる。
今回のワームに限らず,サーバー・ソフトのデフォルト・アカウントを使って侵入を試みるワームは以前から存在する。例えば,2002年にはSQL Serverのデフォルト・アカウントを悪用する「Spida」ワームが感染を広げている(関連記事)。
デフォルト・アカウントの悪用は,攻撃者やワームの常套手段の一つ。不要なアカウントは無効にしていること,デフォルト・パスワードは変更していることなどを,サーバー管理者は改めて確認したい。
◎参考資料
◆Oracle Worm Proof-of-Concept Code(米US-CERT)
◆Oracle Worm Proof-of-concept(米SANS Institute)
