Shellshock

OpenSSL に存在する脆弱性「Heartbleed」の脅威がインターネット上で猛威を振るってからわずか数カ月後、さらに別の脆弱性が確認されました。Linux などで使用されるオープンソースプログラム「Bourne Again Shell(bash)」に存在する脆弱性で、「Shellshock」の名称で呼ばれており、何百万ものPCやサーバや各種端末に影響を及ぼす可能性があります。脆弱性「Shellshock」は、わずかな専門的な知識で簡単に攻撃が実行できることからも深刻な脅威と言えます。

脆弱性「Shellshock」とは何か。

「Shellshock」(CVE-2014-6271)とは、各種Linux、Mac OS Xに標準搭載されているシェルの一種であるbashに存在する脆弱性です。bashは、コマンドラインインターフェースを利用してオペレーティングシステム(OS)のサービスに接続するユーザインターフェース(UI)で、既存のコマンドインインタプリタにより、ユーザがコンピュータ上でコマンドを実行することができます。このため、脆弱性「Shellshock」を悪用することで、攻撃者が不正なスクリプトをPCやサーバ上に実行することも可能になるため、この脆弱性に関連するあらゆる機器・端末が危険にさらされます。特に各種Linux、Mac OS Xに影響を及ぼすため、被害が広範に及ぶ危険性があります。Linuxだけでも、インターネット上の多数のサーバや、「IoT(Internet of Things)」に関連したさまざまな機器に関連しています。

この脅威は、どのような範囲に及び、誰が影響を受けるか。

脆弱性「Shellshock」によるセキュリティ上の弱点を利用することでバックドア活動が可能になるため、攻撃者は、PCの乗っ取りや、サーバへの侵入、情報窃取、Webサイトの書き換え等の不正活動を行うことができます。これにより、多くのPCや、ルータ、Wi-Fiインターネットラジオ、スマート電球等、インターネットで利用可能な家庭端末で、なおかつLinux OS上で利用されているほとんどの機器が影響を受ける可能性があります。
例えば、Webカメラは、Linux OS上で実行されているケースが多く、これらの端末も、乗っ取られて侵入経路として悪用される危険性があります。こうした脆弱性の脅威は、「Internet of Everything」に接続されたあらゆるスマート端末にも及びます。つまり、各種病院、エネルギー産業施設、さらには学校などの教育機関等、文字通りあらゆる場所に及ぶといえ、端末に存在するわずかな脆弱性であっても、そこから深刻な攻撃が引き起こされる可能性があるといえます。

ユーザは何をすべきか。

脆弱性「Shellshock」は、上述の特徴からまず何よりも、その脅威がどのような範囲に及び、どの程度の規模の被害が想定され、誰が影響を受けるのかを正しく理解し、十分に注意することが求められます。また、この脆弱性がどのように報じられていようとも油断することなく、インターネットで相互接続されたスマート端末が今回のような脅威による攻撃に脆弱であることを正しく把握し、いわゆる「健全な懐疑心」を常に保持しておくことで、警戒を怠らずに先を見越した対策を講じることが可能になります。ファームウェアやOSを更新し、セキュリティ更新プログラムをインストールすることも不可欠です。「Shellshock」脆弱性検出ツールやプラグインを使用し、脆弱性の影響や被害の有無を診断することも有効です。IT管理者の場合は、早急にシステムに修正パッチを適用し、ネットワーク活動をしっかりと監視することが求められます。