『Black Hat 2009』で披露された『Mac OS X』と『Oracle』への侵入ツール

ラスベガスで開催中の『Black Hat USA 2009』セキュリティ カンファレンスで、2人のセキュリティ研究者がそれぞれ、『Mac OS X』と『Oracle』データベースに対する侵入検査を行なう自動化ツールを披露し、対象となった各製品に存在するかもしれない脆弱性を新たな焦点として浮かび上がらせた。

今回披露された侵入検査ツールは、どちらもオープンソースの脆弱性検査フレームワーク『Metasploit』の新モジュールで、利用者の環境を破られにくくし、セキュリティ レベル向上を支援することを目的としている。

これまで、Metasploit は『meterpreter』というインメモリの攻撃エンジンを開発して『Windows』に焦点を合わせてきた。その傾向が今回から変わった。Mac 版が登場し、Unix/Linux 版と合わせて、セキュリティ研究者はこれらのプラットフォーム上でもコードを実行できるようになった。

研究者の Dino Dai Zovi 氏は、『Macterpreter』用に書かれたコードの大半はすでに Metasploit に反映されていると聴衆に向けて語った。Mac 版の動作の主な相違点の1つが、段階的バンドル インジェクションを必要とすることだ。そのため Zovi 氏は、攻撃者がシステムに送り込みたい任意のペイロードを挿入する機能を持つ、インジェクション攻撃が可能なバンドル スケルトンのデモを会場で行なった。

他方、セキュリティ研究者 Chris Gates 氏は Black Hat の聴衆に対して、Oracle の脆弱性検査を自動化する新ツール開発のきっかけは、無償でオープンソースのツールが存在しなかったことだと説明した。

Gates 氏によれば、今回のツールが対象としている問題に新しい点はなく、同氏がしたことは単なる検査プロセスの自動化だという。

Gates 氏は、攻撃者が4つの重要な情報を得れば Oracle データベース製品は脆弱な状態に置かれると説明した。IP アドレスとポート番号、サービス ID (SID)、データベースにアクセスするためのユーザー名とパスワードの組み合わせの4つがテストには必要になる。

Gates 氏は、SID と Oracle データベースのバージョン番号を判定するためのリスニング モジュールと、ブルートフォース攻撃と呼ばれる攻撃を行なうログインスクリプトを Metasploit 用に制作した。後者は、既知のデフォルト ユーザー名とデフォルト パスワードの組み合わせでデータベースへのアクセスを試みるスクリプトだ。

Twitter	iPhoneアプリ / iPadアプリ		Androidアプリ
Facebook	RSS	ニュースメール