2014年9月25日以降、LinuxなどのUNIX系OSの多くに含まれるソフトウエア「GNU Bash(以下、bash)」に、非常に危険な脆弱性が見つかった(関連記事:「Bash」に重大な脆弱性)として、OSベンダーやセキュリティベンダーなどが注意を呼びかけている(図1)。インターネットに接続されたWebサーバーやルーターなどでは、細工を施されたデータを送られるだけで乗っ取られる恐れがある。実際、今回の脆弱性を狙った攻撃が確認されている。システム管理者は、影響を受けるコンピュータや機器の洗い出しと対策の実施が急務だ。

図1●米レッドハットによる注意喚起
図1●米レッドハットによる注意喚起
[画像のクリックで拡大表示]

 bashとは、シェル(shell)と呼ばれるソフトウエアの一種。シェルは、ユーザとOSを仲介するソフトウエア。例えば、ユーザーが入力したコマンドを解釈して実行する。シェルには「csh」や「tcsh」など複数の種類が存在する。今回脆弱性が見つかったbashは広く使われているシェルの一つ。主要なLinuxディストリビューションのほぼ全てに含まれ、初期状態では標準のシェルとして設定されている。

 しかも、bashのほぼ全てのバージョンに今回の脆弱性は存在するため、影響を受けるサーバーは非常に多いと考えられる。「脆弱性を修正した最新バージョン以外は、影響を受けると考えた方がよい」(JPCERTコーディネーションセンター 早期警戒グループ 情報セキュリティアナリスト 重森友行氏)。

 さらに問題なのが、「ルーターなどのネットワーク機器も影響を受ける」(ラック 取締役 最高技術責任者 西本逸郎氏)ことだ。ネットワーク機器にLinuxなどが組み込まれていて、脆弱性のあるbashが動作している可能性があるという。

WebサーバーのCGIスクリプト経由で悪用可能

 今回の脆弱性が深刻なのは、影響範囲が広いためだけではない。脆弱性を悪用することが容易で、なおかつ悪用された場合の被害が大きいためだ。脆弱性のあるbashを動かしているサーバーや機器の環境によっては、細工を施されたデータを送信するだけで、任意のコマンドやプログラムを実行できる。その結果、そのサーバーや機器を乗っ取ることなどが可能だ。