米CERT/CCは米国時間7月29日,データベース・サーバー・ソフト「Microsoft SQL Server」のセキュリティ・ホールを警告した。セキュリティ・ホールに関する情報や修正パッチはマイクロソフトから既に公開されているが,その数が多いことと,深刻な影響をおよぼすものが含まれていることから,今回改めて警告した。SQL Severの管理者は改めて確認したい。

 最近,SQL Server 7.0/2000/Desktop Engine 2000 のセキュリティ・ホールが次々見つかっている。2001年12月以降,SQL Serverに関するセキュリティ情報は8件公開されている。1件のセキュリティ情報には,複数個のセキュリティ・ホールが記載されているので,公開されているセキュリティ・ホールは10種類以上になる。

 ほとんどのセキュリティ・ホールにおいては,1つのセキュリティ・ホールを悪用して攻撃を成功させるのは,いくつか前提条件を必要とするために,それほど容易ではない。しかし,CERT/CCによれば,他の手法と組み合わせることで,深刻な影響をもたらす攻撃が可能になるという。

 特に,セキュリティ情報「MS02-034」で公開された「SQL Server サービス・アカウント・レジストリ・キーの不適切なアクセス権限」を警告している。このセキュリティ・ホールを悪用すれば,オペレーティング・システムと同じ権限を奪取して,SQL Serverが稼働するマシン上で任意のコマンドなどを実行できる。つまり,そのマシンを乗っ取ることが可能となる。

 ただし,このセキュリティ・ホールを悪用するには,いくつか条件がある。例えば,攻撃者はSQL Serverでクエリーの読み込みや実行が可能な権限を持っていなくてはならない。そのため,マイクロソフトが設定している最大深刻度は「中」となっている。しかし逆を言えば,管理者の設定ミスやパスワードの盗難などによって条件がクリアされれば,深刻な影響を受けることになる。

 悪用するのに必要な前提条件が多ければ多いほど,セキュリティ・ホールの悪用は難しくなるものの,悪用できなくなるわけではない。何らかの理由で,それらの前提条件を回避されることは十分ありうる。その場合に備えて,パッチの適用や適切な設定を施しておかなければならない。マイクロソフトやCERT/CCの情報を参考に,SQL Serverの管理者は改めて確認しておく必要がある。外部(社外)からSQL Serverに直接アクセスできるようにしている場合には,特に注意しなければならない。

 なお,SQL Serverに関するセキュリティの詳細については,7月31日公開予定の「今週のSecurity Check」で解説する予定である。

◎参考資料
CERT Advisory CA-2002-22 Multiple Vulnerabilities in Microsoft SQL Server(米CERT/CC,英語情報)
マイクロソフト セキュリティ情報一覧(マイクロソフト)

(勝村 幸博=IT Pro)