Blackhatネタ来ましたねぇ。今年はデータベースネタですか。

黒い帽子をかぶったCore Security Technologiesの研究者たちが、索引付けアルゴリズム固有の特性を利用した新しい攻撃手法に関するプレゼンテーションを行う。
この攻撃のデモは、ラスベガスで開催されるイベント「Black Hat USA」において8月1日に、MySQLデータベースエンジンを使って行われる。この攻撃の対象となる可能性があるのは、広く普及しているデータベース索引付けアルゴリズム／データ構造であるBTREEを採用しているデータベース管理システムである。

「それに加え、運用中の巨大なデータベースでは、多数の挿入やトランザクションが絶え間なく実行されている」とアーシー氏は話す。
「多くのユーザーが同様の操作を実行している中で、挿入のタイミングを正確に測定し、挿入時の差異を認識するのは容易ではないだろう。とはいえ、こういった問題を公開し、それについて論じるのは重要なことだと考えている。それによってデータベース運用者は、この種の攻撃が可能であることを知り、必要な対策を立てることができるからだ」（同氏）