• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

News & Trend

危なすぎるBashの脆弱性「Shellshock」、深刻な事態になる前に対策を

勝村 幸博=日経コンピュータ 2014/09/29 日経コンピュータ

 2014年9月25日以降、LinuxなどのUNIX系OSの多くに含まれるソフトウエア「GNU Bash(以下、bash)」に、非常に危険な脆弱性が見つかった(関連記事:「Bash」に重大な脆弱性)として、OSベンダーやセキュリティベンダーなどが注意を呼びかけている(図1)。インターネットに接続されたWebサーバーやルーターなどでは、細工を施されたデータを送られるだけで乗っ取られる恐れがある。実際、今回の脆弱性を狙った攻撃が確認されている。システム管理者は、影響を受けるコンピュータや機器の洗い出しと対策の実施が急務だ。

図1●米レッドハットによる注意喚起
[画像のクリックで拡大表示]

 bashとは、シェル(shell)と呼ばれるソフトウエアの一種。シェルは、ユーザとOSを仲介するソフトウエア。例えば、ユーザーが入力したコマンドを解釈して実行する。シェルには「csh」や「tcsh」など複数の種類が存在する。今回脆弱性が見つかったbashは広く使われているシェルの一つ。主要なLinuxディストリビューションのほぼ全てに含まれ、初期状態では標準のシェルとして設定されている。

 しかも、bashのほぼ全てのバージョンに今回の脆弱性は存在するため、影響を受けるサーバーは非常に多いと考えられる。「脆弱性を修正した最新バージョン以外は、影響を受けると考えた方がよい」(JPCERTコーディネーションセンター 早期警戒グループ 情報セキュリティアナリスト 重森友行氏)。

 さらに問題なのが、「ルーターなどのネットワーク機器も影響を受ける」(ラック 取締役 最高技術責任者 西本逸郎氏)ことだ。ネットワーク機器にLinuxなどが組み込まれていて、脆弱性のあるbashが動作している可能性があるという。

WebサーバーのCGIスクリプト経由で悪用可能

 今回の脆弱性が深刻なのは、影響範囲が広いためだけではない。脆弱性を悪用することが容易で、なおかつ悪用された場合の被害が大きいためだ。脆弱性のあるbashを動かしているサーバーや機器の環境によっては、細工を施されたデータを送信するだけで、任意のコマンドやプログラムを実行できる。その結果、そのサーバーや機器を乗っ取ることなどが可能だ。

ここから先はITpro会員(無料)の登録が必要です。

次ページ セキュリティベンダーなどは、今回の脆弱性は、20...
  • 1
  • 2
  • 3

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

  • 【Apple Pay最新事情】

    NFC開放から占うApple Payの未来

     WWDC17におけるApple Payの最大の話題は、新機能「個人間(P2P)送金」の提供だった。一方でiOSエコノミーの開発者らの間では、iOS 11で初めて「NFC(Near Field Communication)」機能の開放が行われて大きな話題になっている。

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

設計/開発

サーバー/ストレージ

ネットワーク/通信サービス

セキュリティ

もっと見る