Oracleデータベースにパスワード解読可能なぜい弱性，SANSの研究者が実証ツールをデモ

IT Pro

2005.10.31

　米国のセキュリティ研究機関であるSystem Administration Networking and Security Institute（SANS）は，米Oracle製データベースのパスワード・ハッシュ・アルゴリズムに存在するぜい弱性を米国時間10月27日に警告した。SANSの研究者であるJoshua Wright氏がカリフォルニア州ロサンゼルスで開催されたカンファレンスSANS Network Securityにおいて，Oracle社の使用しているパスワード・ハッシュ・アルゴリズムの詳細を解説したうえで，ハッシュ済みデータからプレインテキストのパスワードを解読する攻撃ツールのデモンストレーションを行った。

　Wright氏はロンドン大学のCarlos Cid氏とともに「An Assessment of the Oracle Password Hashing Algorithm」（Oracle社のパスワード・ハッシュ・アルゴリズムに関する評価）と題する論文を執筆し，Oracle社の使用しているパスワード保存／暗号化手法について詳しく紹介した。論文では，認証アルゴリズムの弱点を突いて隠されているパスワード情報を取り出す方法と，管理者が利用可能なOracleデータベースを攻撃から守る手法も検討している。

　Wright氏のデモンストレーションした攻撃ツールは同氏が作成した。“よく書けていて”極めて強力なパスワードでも，数分で解読できるという。

　両氏の論文は，SANSのWebサイトからダウンロードできる。またこのぜい弱性は，2005年7月12日にOracle社の製品セキュリティチームへ連絡済みという。

　米メディアの報道（InfoWorld）によると，両氏はパスワードを保護するため，（1）12文字以上の長さのパスワードを使う，（2）60日ごとにパスワードを無効化する，（3）単純なパスワードが使用されていないか検査する，（3）ネットワーク・トラフィックを暗号化する，（4）データベース・ユーザーによるWebアプリケーションとハッシュ済みパスワードへのアクセスを制限するという対策をとるよう推奨している。現在のところ，この件に関してOracle社から正式なコメントは得られていないという。