「GHOST」の正体見たり枯れ尾花? 名前には踊らされなかったセキュリティクラスター:セキュリティクラスター まとめのまとめ 2015年1月版(3/3 ページ)
2015年1月「GHOST」が登場します。名前の付いた脆弱性で、任意のコードが実行できるとあって大変なことになる……しかし、セキュリティクラスターは淡々と対応していたようです。
実は大したことなかった? glibcの「GHOST」脆弱性
「POODLE」や「Shellshock」「Heartbleed」など、最近では脆弱性を公表する前に、キャッチーな名前とロゴを作って大々的に発表するのが流行のようになっています。そんな中、2015年1月28日には「GHOST」と名付けられた新たな脆弱性が公表されました。
「GHOST」はLinuxの基本ライブラリ「glibc」のgethostbyname()関数などで使われる「__nss_hostname_digits_dots()関数」に見つかった脆弱性です。Eximというメールサーバーの64bit/32bit版で、この脆弱性を使い任意のコードが実行できたということも同時に発表されたことから、多数のメディアによって大々的に取り上げられました。この騒ぎによって、サーバー管理者が対応に追われることになっていました。
――とはいえ、セキュリティクラスタではこの大騒ぎには最初から疑問視していた人が多かったようです。公表された脆弱性とglibcのソースコードや発表された文書を読んだ人が、この脆弱性によって書き換えられるメモリが非常に少なく、攻撃コードを作成するにはとてつもなく高い技術が必要と考え、それをツイートしたからです。それを踏まえて、それほど緊急に対応するほどのものではないのでは、というツイートが多く見受けられました。
この件は、どちらかというと名前を付けて大々的に発表している人や、それによって騒いでいるマスコミを冷ややかな目で見るツイートが多く、マスコミとセキュリティクラスターの温度差を感じさせました。
その後、WordPressをはじめ、他にも攻撃を行えると発表はされたものの、それほど大きな被害を及ぼすような攻撃が行えるコードも発表されず、その週末には騒ぎはすっかり収まってしまいました。
当初それほど大したものでないと考えられていたものが、Twitterなどを通じてさまざまな角度で検証され深刻な脆弱性だと認知された「Shellshock」とは逆に、深刻だと発表されたものが実は大したものではないと検証され騒ぎが収まっていく様子に、SNSの力を感じさせられました。
【関連記事】
安定版Linuxディストリビューションの一部に影響、アップデートの適用を:
glibcの脆弱性「GHOST」、影響範囲を見極め冷静な対処を(@IT)
http://www.atmarkit.co.jp/ait/articles/1501/28/news161.html
セキュリティクラスター まとめのまとめ 2014年9月版:
ShellShockに管理者はショック! パスワード定期変更の議論どころではない? (@IT)
http://www.atmarkit.co.jp/ait/articles/1410/10/news007.html
この他にも、2015年1月のセキュリティクラスターはこのような話題で盛り上がっていました。2月はどのようなことが起きるのでしょうね。
- 首都大学東京、成績データを世界に公開していた模様(参考:首都大学東京、学生ら5万1000人分の個人情報が流出した可能性 NASが外部に公開状態)
- 米中央軍司令部のTwitterとYoutubeのアカウントが乗っ取られる
- 面倒くさいスマホWebブラウザー乗っ取り(参考:スマートフォンのブラウザをロックするように進化したワンクリック詐欺:シマンテック Security Response Blog)
- 江戸前セキュリティ勉強会、現役脆弱性診断士のパネルディスカッションが熱い(参考:2015年1月24〜25日のtwitterセキュリティクラスター)
- OWASP NightなどでWebProxyが関心を呼ぶ
- ソニー・ピクチャーズへの攻撃はやはり北朝鮮によるもの?
- 日々進化する攻撃手法を研究しても仕方がない?
- 「Anonymousがあの組織に攻撃宣言」「俺たちが善玉ハッカーだ」――11月のセキュリティクラスターを振り返る
- 「4万人のボランティアが守る東京オリンピック」?――セキュリティクラスターの反応は
- サイバー攻撃から日本を守るのは、プロフェッショナルなトップガン
- 成長し続けるセキュリティ人材と悲嘆に暮れる情報流出被害者たち
- 技術ある17歳が牙をむく――私たちに何ができたのか
- 日本年金機構が標的型攻撃を受ける――これは対岸の火事ではない?
- 脆弱性に名前のあるなし関係なし、連休でも淡々と検証するセキュリティクラスター
- 名前はなくても危険、IISの脆弱性が注目を集める
- 日本のWebサイトがテロリストの攻撃対象になった――わけでもなさそう
- SSL通信の根本を揺るがす「SuperFish」問題をどう見るべきか
- 「GHOST」の正体見たり枯れ尾花? 名前には踊らされなかったセキュリティクラスター
- CODE BLUEにSECCONに、リアルが忙しかった12月
- まるでCTFみたい? 鮮やかに暴かれた「自称小学4年生」のサイト
- ちっともかわいくなかった、セキュリティ界の「POODLE」
- ShellShockに管理者はショック! パスワード定期変更の議論どころではない?
- 「www.atmarkit.co.jp.3s3s.org」は安全? 危険?
- ベネッセの情報漏えいがあぶり出してしまった、USBメモリ管理の穴
- LINEの盗聴疑惑にセキュリティクラスターはどう反応したか
- 急転直下の結末を迎えた遠隔操作ウイルス事件
- HeartbleedにStrutsにIE……脆弱性に振り回された1カ月
- 遠隔操作ウイルス事件でフォレンジックを考えた
- 終わらないパスワード議論と、広告に求められる誠実さと
- 安全なオンラインアップデートってどうすべきだろう?
著者プロフィール
山本洋介山
猫と一緒に自宅の警備をする傍ら、「twitterセキュリティネタまとめ」というブログを日々更新しているtwitterウォッチャー。セキュリティやネットワークに関する原稿も書いてます。
Copyright © ITmedia, Inc. All Rights Reserved.