Oracle データベースの脆弱性を警告する週間プロジェクトが計画中

12月は Oracle (NASDAQ:ORCL) データベースのユーザーにとって、注意すべき月になりそうだ。セキュリティ調査会社 Argeniss Information Security が、Oracle データベースの脆弱性を1週間にわたって順次公開していくことを計画している。

この方針は、Oracle データベースについて四半期毎に行なわれる、最新の定例セキュリティ更新『Critical Patch Update』の後に発表されたものだ。定例セキュリティ更新で公開される脆弱性に対する修正の件数は2桁になるのが通例だ。例えば、10月に発表したセキュリティ更新の中で、同社は Oracle データベースに関する63件の脆弱性に対応した。しかし、Argeniss の創業者で CEO の Cesar Cerrudo 氏によると、公開されていない脆弱性がさらに存在するという。現在、その原因を調べている。

Cerrudo 氏は、12月中の1週間、毎日1つずつ脆弱性を公開していく計画だと説明している。同氏はこの取り組みを『The Week of Oracle Database Bugs』 (WoODB) と呼ぶ。この構想は、悪質なコードに対する脆弱性をチェックできるオープンソースのセキュリティ プラットフォーム『Metasploit Framework』を開発した H D Moore 氏が、今年7月を『Month of Browser Bugs』としたのと同じコンセプトに基づいている。Moore 氏はこの取り組みで、ブラウザのセキュリティに関する認識を高めるために、7月中、毎日1件の脆弱性を公開した。

Cerrudo 氏によると、WoODB は Oracle データベースユーザーを「助ける」ことを目的にしているという。WoODB は「Oracle ユーザーのセキュリティの改善に役立つと思う。ユーザーは、脆弱性を含む Oracle のソフトウェアを使用することで直面する本当の脅威を認識し、Oracle に対しセキュリティその他について、対応と改善を求めて働きかけるだろう。また、脆弱性を認識していれば、それに気付いていない場合に比べ、より適切な防御が可能になる」と、同氏は述べた。

Cerrudo 氏の考えでは、Oracle の製品には「未修正の脆弱性が多数」存在するために、同社は標的にされているという。しかし、Argeniss の調査では、他のデータベースベンダーの製品にも「ゼロデイ攻撃」の対象となる脆弱性が存在するという。

Cerrudo 氏は取材に対し、今回の取り組みに関して Oracle からの接触はないと述べている。Oracle の広報担当者からもコメントは得られなかった。同社の『Global Product Security Blog』にも、この件への言及はない。