• 会員限定
  • 2014/10/22 掲載

bashが使われるLinuxやMac OS X、iOSにも影響?Shellshockは本当に危険な脆弱性なのか

  • icon-mail
  • icon-print
  • icon-hatena
  • icon-line
  • icon-close-snsbtns
記事をお気に入りリストに登録することができます。
9月24日、bashのコマンドインジェクションに関する脆弱性が公開された。CVE情報を管理するデータベースでも総合スコアが10.0という最高危険度の脆弱性だ。その直後から「Heartbleedに匹敵する問題」として、多くの専門家やセキュリティベンダーのブログを始め新聞なども取り上げている。ShellShockと名付けられたこの脆弱性問題はどういったもので、どのような危険があるのだろうか。

Linuxのシェルに潜む脆弱性によって、起こりうる事態とは

photo
相次いで発見されるソフトウェアの脆弱性に、どのような対策が必要なのか?
 GNU Bash 4.3以前のバージョンに関する脆弱性は、9月24日にCVE-2014-6271として一般に公開された。bashの環境変数を処理する実装に問題があり、任意のコマンドが外部から実行できてしまうものだ。

 たとえば、WebサーバーがCGIスクリプトにbashを使えるようにした状態で、環境変数を設定するための特殊な書式に任意のシェルコマンドなどを記述しておくと、脆弱性のあるbashが、これを引数の値(文字列)ではなく、「式」と評価してコマンドを実行してしまう。

 この脆弱性によって、パスワードファイルを外部に送信したり、外部サーバーと通信させたり、マルウェアを実行させたりと、さまざまな攻撃を許してしまう。システムソフトウェアの脆弱性を外部から突く攻撃のため、ウイルス対策ソフトでは防げないし、アクセス制御などの保護機能をすり抜けてコマンドが実行される可能性も高い。セキュリティベンダーのWebサイトでは、すでに関連の攻撃と思われるトラフィックが確認されたとの報告がされている。

 この問題が注目された理由はいくつか考えられる。まず、公表されたCVEの危険度評価が総合でも10.0という最高レベルの評価だったことが挙げられる。またこの脆弱性がかなり以前から発見されず放置されてきた点は大きな要因だ。

どのようなシステムが対象となるのか

関連記事
 ShellShockが及ぼす影響を予想してみたい。まず、コマンドシェルに「Bash 4.3 Patch 27」以前のものを使っているサーバーやシステムは危険と思ってよいだろう。とはいえ、UNIXやLinuxのシェルはbash以外にも存在する(sh、csh、bsh、tcsh、dashなど)。bash以外のシェルを使っているシステムであれば、「CVE-2014-6271」の脆弱性に関しては安全といえるだろう。

 なお、システムのデフォルトのシェルがbashでない場合でも、bashをインストールしてコマンドシェルとして利用している環境もある。例えば、Windows Azure上のWebサーバーはIISなので、マイクロソフトは基本的には安全であるとしながらも、仮想環境などでbashを利用している場合は対策せよとアナウンスしている。

 また、Ubuntuで使われているシェルはデフォルトがdashなので安全というが、デフォルトを変更していれば確認が必要だ。ほかにも、bashがデフォルトではないものの、BSD UNIXから派生しているMac OS Xについては、アップルが対策パッチをリリースしている。

 脆弱性のあるbashのバージョンは、JPCERT/CCなどが公表している注意喚起情報に詳しくリストされている。自社が利用しているサーバー製品やPaaSサービス、ホスティングサービスなどが影響を受けるかどかについては、各社のホームページの情報を参照するとよい。主だったベンダーは、対策情報などとともに説明している。ホームページに情報がなければ、直接問い合わせてほしい。

 セキュリティの専門家のブログなどには、独自の調査をまとめて影響を受けるシステム、実際の攻撃パターン、ShellShockの脆弱性を持つかどうか調べるスクリプトなども公開されている。内容を見極めつつ、これらも参考にするとよいだろう。

【次ページ】相次ぐソフトウェアの脆弱性問題、Heartbleedとの類似点は?

関連タグ タグをフォローすると最新情報が表示されます
あなたの投稿

    PR

    PR

    PR

処理に失敗しました

人気のタグ

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます