Core Securityが新しいデータベース攻撃手法を発表

黒い帽子をかぶったCore Security Technologiesの研究者たちが、データベース攻撃の新しい手法を紹介する。

[Brian Prince，eWEEK]

　黒い帽子をかぶったCore Security Technologiesの研究者たちが、索引付けアルゴリズム固有の特性を利用した新しい攻撃手法に関するプレゼンテーションを行う。

　この攻撃のデモは、ラスベガスで開催されるイベント「Black Hat USA」において8月1日に、MySQLデータベースエンジンを使って行われる。この攻撃の対象となる可能性があるのは、広く普及しているデータベース索引付けアルゴリズム／データ構造であるBTREEを採用しているデータベース管理システムである。Core Securityのアイバン・アーシーCTO（最高技術責任者）によると、従来、データベースセキュリティ侵犯は主として、不適切な権限設定、管理権限の不正使用、フロントエンドのWebアプリケーションのバグを狙ったSQLインジェクション攻撃などによるものだったという。

　今回のプレゼンテーションでは、データベースエンジンに対するタイミング攻撃が紹介される。タイミング攻撃は、暗号システムの各種インプリメンテーションに対して用いられる一般的なテクニックである。Core Securityの研究者らは、このテクニックを利用してレコード挿入操作を実行することによってデータベースから情報を抽出する方法を説明する。レコード挿入は一般に、すべてのデータベースユーザー（フロントエンドのWebアプリケーションの匿名ユーザーを含む）が行える操作である。

　「この攻撃は、索引付けアルゴリズムの機能あるいは特性を利用する。挿入操作の中にはほかの挿入操作よりも時間がかかるものがあり、その時間は測定可能だ。このため、挿入するものをコントロールし、BTREEに挿入する時間を測定できれば、挿入操作を行う前にBTREEに入っていた内容を推測することが可能になる」とアーシー氏は説明する。

　アーシー氏によると、この攻撃は多くの種類のデータベースに有効だが、ハッカーがこの手法を利用するのは難しいという。

　「これは理論上の攻撃だ」と同氏は語る。「こういった攻撃に必要なインプリメンテーションに関する詳細は多岐にわたる。特定のデータベースに対してこのような攻撃を仕掛けるには、データベースの設定やそのチューニング方法、テーブルの内容やテーブルの構造に関する情報が必要になる」。

　「それに加え、運用中の巨大なデータベースでは、多数の挿入やトランザクションが絶え間なく実行されている」とアーシー氏は話す。

　「多くのユーザーが同様の操作を実行している中で、挿入のタイミングを正確に測定し、挿入時の差異を認識するのは容易ではないだろう。とはいえ、こういった問題を公開し、それについて論じるのは重要なことだと考えている。それによってデータベース運用者は、この種の攻撃が可能であることを知り、必要な対策を立てることができるからだ」（同氏）

　Core Securityの担当者によると、Black Hatでのプレゼンテーションでは、CoreLabsの研究者であるダミアン・サウラ氏とエーリエル・ワイスバイン氏が、この攻撃に関する最近の研究を紹介するとともに、この手法によってデータベースからプライベートなデータを抽出することが可能であることを詳しく説明する。プレゼンテーションではさらに、BTREEの評価やそのセキュリティ脆弱性の発見の経緯の説明も行われるという。