検索
ニュース

bashにコードインジェクションの脆弱性「Shellshock」、管理者に大きなショック影響範囲はどこまで?

UNIX系OSのシェル「bash」に極めて深刻な脆弱(ぜいじゃく)性が発見された。すでにこの脆弱性をスキャンする通信を観測したという報告もあり、修正パッチの適用や継続的な情報収集が望まれる。

Share
Tweet
LINE
Hatena

 米国時間の2014年9月24日、LinuxやMac OS XなどのUNIX系OSで使われているシェル「bash(Bourne Again Shell)」に、極めて深刻な脆弱性(CVE-2014-6271)が発見された。シェルの環境変数として外部入力を受け入れる設定となっている環境では、最悪の場合、リモートから任意のコマンドを実行される恐れがある。bashの配布元であるGNU Projectやパッケージ配布を行っている各Linuxディストリビューションがパッチを公開済みで、速やかに適用するよう呼び掛けている。

 この脆弱性はコマンドインジェクションの一種で、「Shellshock」と呼ばれている。bashの環境変数の処理に問題があり、細工を施した環境変数を受け入れた場合、そこに含まれる任意のコマンドまで実行してしまう恐れがある。サーバー側の権限設定にもよるが、システム内の情報を盗み見られたり、サーバーを改ざんされたりするなど、大きな影響を受ける恐れは否定できない。

 Shellshockが深刻な問題とされている大きな理由は、WebサーバーがCGIスクリプトを実行する際の受け皿としてbashが利用されているケースが多いからだ。しかも、「CGIは入力値を環境変数として扱うので、攻撃者が任意の内容を設定しやすい」(ラック)。例えば、掲示板やチャットなどのCGIを実行しているWebサーバーは、この脆弱性の影響を受けると考えられるという。シェルでスクリプトではなく他の言語でCGIを記述していても、system()を呼び出す場合は同じく脆弱性の影響を受けるという指摘もある。

 既に多くのIT技術者やセキュリティ技術者が、手元の環境でこの脆弱性を再現し、ブログ上で報告している。ソフトバンク・テクノロジーの辻伸弘氏もこの脆弱性を調査し、「HTTP_USER_AGENTに細工を施してターゲットにアクセスすることで、/etc/passwdの内容を表示できるなど、任意のコマンドを実行できることが検証できた」と報告している。ログファイルを検査すればこの手法で攻撃を受けたことが確認できるが、別の箇所に細工を施すなどの手を加えると、検出が困難になる可能性もあるという。


HTTP_USER_AGENTに細工を施してアクセスすると、環境変数に記されたコマンドが実行されてしまう(上)。コマンドライン上でも同様(下)(いずれもソフトバンク・テクノロジー辻伸弘氏提供)

 Twitter上では、早速この脆弱性の有無をチェックしていると思われるスキャン通信を観測したという報告が複数ある。中には、Heartbleed脆弱性が公になったときと同様、検証を目的とした通信が含まれている可能性もあるが、パッチが適用されていない脆弱なシステムを探そうとする攻撃の前段階である恐れも否定できない。Googleなどの検索エンジンで特定のキーワードを検索すれば、Shellshockの影響を受ける恐れのあるWebサイトを見つけることも可能であることから、「当面は、この種のアクセスが増えるかもしれない」と辻氏は警告する。現に、海外のセキュリティ組織や研究者が、Shellshockの脆弱性を狙ったボットや攻撃コードを収集したと報告している。

 対策は、GNU Projectや各Linuxディストリビューターがリリースしたパッチを適用すること。もしそれが困難な場合は、(Apacheの場合は)mod_securityなどのモジュール、あるいはIDS/IPSやWAFといったセキュリティ機器で、入力値をフィルタすることを辻氏は推奨している。既にいくつかのセキュリティベンダーやコンテンツ配信事業者では、Shellshockに対応したシグネチャを公開した。また、CGI経由で環境変数をWebサーバーに与えたときには、そのWebサーバーの権限でコマンドが実行されることから、必要以上に高い権限を与えないよう制限することもポイントになるという。

 bashを他のシェルに入れ替えるという代替策も提案されているが、「既存の環境の稼働を止めなければならないことを考慮すると、現実的には対応が困難な環境もあるだろう」(辻氏)。なお、一部のLinuxやBSD系OSでは/bin/shがデフォルトでbash以外のシェルとなっているため問題はないと思われるが、念のため脆弱性の有無を確認しておく方が望ましい。

 いずれにせよ、修正パッチの適用とともに、「サーバー上で動作する各種サービスのアクセス権限を管理する」「サーバーに対するアクセスを監視する」「外部から内部のファイルなどを読み出そうとする動きやWebサーバーの改ざんを検知する仕組みを作っておく」といった、基本的なセキュリティ対策をしっかりと行っておくことが重要といえそうだ。

 なお、Shellshock用の修正パッチが不十分であり、パッチ適用後も一部の攻撃が成立したとの報告も浮上している(CVE-2014-6271とは別の脆弱性、CVE-2014-7169であるとの指摘もある)。また、ブロードバンドルーターなど、Linuxをベースにした組み込み機器に対する攻撃の可能性も含めると、影響範囲は多大なものになる。OpenSSLの脆弱性、「Heartlbleed」並みのインパクトを与えるものだと警告する声もあり、引き続き注意が必要だ。

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. 米国/英国政府が勧告する25の脆弱性、活発に悪用されている9件のCVEとは、その対処法は? GreyNoise Intelligence調査
  2. セキュリティ担当者の54%が「脅威検知ツールのせいで仕事が増える」と回答、懸念の正体とは? Vectra AI調査
  3. セキュリティ専門家も「何かがおかしいけれど、攻撃とは言い切れない」と判断に迷う現象が急増 EGセキュアソリューションズ
  4. OpenAIの生成AIを悪用していた脅威アクターとは? OpenAIが脅威レポートの最新版を公開
  5. 約9割の経営層が「ランサムウェアは危ない」と認識、だが約4割は「問題解決は自分の役割ではない」と考えている Vade調査
  6. インサイダーが原因の情報漏えいを経験した国内企業が約3割の今、対策における「責任の所在」の誤解とは
  7. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  8. MicrosoftがAD認証情報を盗むサイバー攻撃「Kerberoasting」を警告 検知/防御方法は?
  9. 人命を盾にする医療機関へのランサムウェア攻撃、身代金の平均支払額や損失額は? 主な手口と有効な対策とは? Microsoftがレポート
  10. AIチャットを全社活用している竹中工務店は生成AIの「ブレーキにはならない」インシデント対策を何からどう進めたのか
ページトップに戻る