検索
連載

ShellShockに管理者はショック! パスワード定期変更の議論どころではない?セキュリティクラスター まとめのまとめ 2014年9月版(2/3 ページ)

2014年9月はまた、大きな大きな脆弱性に振り回されました。その裏では、セキュリティクラスターのみんなが大好きなあの議論も……

Share
Tweet
LINE
Hatena

bashに重大な脆弱性「shellshock」が見つかってショック

 2014年9月24日には、LinuxやMacOSXなど、とてもたくさんのUNIX系OSで使用されているシェルの「bash」に、リモートからコードが実行できるという重大な脆弱性が見つかり、大きな話題となりました。シェルなので命令が実行されるのは当たり前のことなのですが、外部のユーザーが環境変数を送り込むことで、意図しないコードを実行できてしまいます。

 シェルの脆弱性なので、サーバーやPCの内部にしか影響がないように見えますが、PHPやPerlなどを利用したWeb系のサービスにおいても、内部的な処理にbashを利用していることがあるため、いま公開しているサービスが直ちに影響を受ける可能性もありました。そのため、たくさんの人が起こったことの大きさを把握するとともに、驚いた様子をツイートしていました。

 脆弱なサービスが動作してさえいれば、OSコマンドを実行させることが容易なため、セキュリティクラスターでもたくさんの人が、絶対に見えてはいけない「/etc/passwd」を表示させたりしていました。筆者も試しましたが、本当に簡単にサーバー内の任意のコマンドを実行することができました。

 「ShellShock」と名付けられたこの脆弱性は、攻撃コードを使ったスキャンツールがすぐに公開されたことや、ブラウザーのUser-Agentとして攻撃コードを設定するだけで脆弱性のあるスクリプトからコマンドを実行できることも分かったため、管理者は対応に追われました。早速ShellShockの攻撃を検知して、そのログをアップしている人も多く見られました。最初に提供されたパッチが完全ではなく、何度もアップデートを行うはめにあったり、アップデートに失敗してログインできなくなった人もいたようです。

 また、LinuxだけでなくMac OS XなどのOSや、QmailのようなMTA、ルーターやロードバランサーなどのネットワーク装置にも影響が及んでいたことも分かり、たくさんの機械をアップデートせざるを得なくなった人も多かったようです。

 bashが思ってもみないところまで使用されていたこともあり、とてもたくさんのサービスが影響を受けていましたが、それ以前の問題として外向きにシェル経由でコマンドを使うスクリプトを置いていることや、「信頼できない文字列の入力を認めるスクリプトを使っていることがすでにダメだ」という意見もありました。

【関連記事】

bashにコードインジェクションの脆弱性「Shellshock」、管理者に大きなショック(@IT)

http://www.atmarkit.co.jp/ait/articles/1409/26/news071.html

bashの脆弱性を抱えるNASへの攻撃、日本や韓国が標的に(ITmedia エンタープライズ)

http://www.itmedia.co.jp/enterprise/articles/1410/03/news109.html


Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. 米国/英国政府が勧告する25の脆弱性、活発に悪用されている9件のCVEとは、その対処法は? GreyNoise Intelligence調査
  2. セキュリティ担当者の54%が「脅威検知ツールのせいで仕事が増える」と回答、懸念の正体とは? Vectra AI調査
  3. セキュリティ専門家も「何かがおかしいけれど、攻撃とは言い切れない」と判断に迷う現象が急増 EGセキュアソリューションズ
  4. OpenAIの生成AIを悪用していた脅威アクターとは? OpenAIが脅威レポートの最新版を公開
  5. 約9割の経営層が「ランサムウェアは危ない」と認識、だが約4割は「問題解決は自分の役割ではない」と考えている Vade調査
  6. インサイダーが原因の情報漏えいを経験した国内企業が約3割の今、対策における「責任の所在」の誤解とは
  7. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  8. MicrosoftがAD認証情報を盗むサイバー攻撃「Kerberoasting」を警告 検知/防御方法は?
  9. 人命を盾にする医療機関へのランサムウェア攻撃、身代金の平均支払額や損失額は? 主な手口と有効な対策とは? Microsoftがレポート
  10. AIチャットを全社活用している竹中工務店は生成AIの「ブレーキにはならない」インシデント対策を何からどう進めたのか
ページトップに戻る