「POODLE」や「Shellshock」「Heartbleed」など、最近では脆弱性を公表する前に、キャッチーな名前とロゴを作って大々的に発表するのが流行のようになっています。そんな中、2015年1月28日には「GHOST」と名付けられた新たな脆弱性が公表されました。
「GHOST」はLinuxの基本ライブラリ「glibc」のgethostbyname()関数などで使われる「__nss_hostname_digits_dots()関数」に見つかった脆弱性です。Eximというメールサーバーの64bit/32bit版で、この脆弱性を使い任意のコードが実行できたということも同時に発表されたことから、多数のメディアによって大々的に取り上げられました。この騒ぎによって、サーバー管理者が対応に追われることになっていました。
――とはいえ、セキュリティクラスタではこの大騒ぎには最初から疑問視していた人が多かったようです。公表された脆弱性とglibcのソースコードや発表された文書を読んだ人が、この脆弱性によって書き換えられるメモリが非常に少なく、攻撃コードを作成するにはとてつもなく高い技術が必要と考え、それをツイートしたからです。それを踏まえて、それほど緊急に対応するほどのものではないのでは、というツイートが多く見受けられました。
この件は、どちらかというと名前を付けて大々的に発表している人や、それによって騒いでいるマスコミを冷ややかな目で見るツイートが多く、マスコミとセキュリティクラスターの温度差を感じさせました。
その後、WordPressをはじめ、他にも攻撃を行えると発表はされたものの、それほど大きな被害を及ぼすような攻撃が行えるコードも発表されず、その週末には騒ぎはすっかり収まってしまいました。
当初それほど大したものでないと考えられていたものが、Twitterなどを通じてさまざまな角度で検証され深刻な脆弱性だと認知された「Shellshock」とは逆に、深刻だと発表されたものが実は大したものではないと検証され騒ぎが収まっていく様子に、SNSの力を感じさせられました。
安定版Linuxディストリビューションの一部に影響、アップデートの適用を:
glibcの脆弱性「GHOST」、影響範囲を見極め冷静な対処を(@IT)
http://www.atmarkit.co.jp/ait/articles/1501/28/news161.html
セキュリティクラスター まとめのまとめ 2014年9月版:
ShellShockに管理者はショック! パスワード定期変更の議論どころではない? (@IT)
http://www.atmarkit.co.jp/ait/articles/1410/10/news007.html
この他にも、2015年1月のセキュリティクラスターはこのような話題で盛り上がっていました。2月はどのようなことが起きるのでしょうね。
山本洋介山
猫と一緒に自宅の警備をする傍ら、「twitterセキュリティネタまとめ」というブログを日々更新しているtwitterウォッチャー。セキュリティやネットワークに関する原稿も書いてます。
Copyright © ITmedia, Inc. All Rights Reserved.