警察庁は2015年2月25日、GNU Bashの脆弱性「ShellShock」を狙ったWebサーバー(Webサイト)への攻撃が急増していると注意を呼びかけた。Webサーバーを乗っ取られる恐れなどがある。Webサーバーの管理者は対策が急務だ。
GNU Bashは、LinuxなどUNIXベースのOSで広く使われているシェル(コマンド実行環境)の一つ。2014年9月末、Bashに危険な脆弱性が見つかり、以降、OSベンダーやセキュリティベンダーなどが注意を呼びかけている。
影響の大きさから、脆弱性はShellShockと名付けられた(関連記事:危なすぎるBashの脆弱性「Shellshock」)。インターネットに接続されたWebサーバーやルーターなどでは、細工を施されたデータを送られるだけで脆弱性を突かれ、乗っ取られる恐れなどがある。
警察庁は2月18日から2月24日までの間、Bashの脆弱性を狙ったと思われるTCPポート80番へのアクセス増加を確認した(図1)。TCPポート80番はWebサーバーが使用するポートなので、ShellShockが存在するWebサーバーへの攻撃を狙ったアクセスだと考えられる。
攻撃者の目的は、Webサーバーで特定のPerlコマンドを実行させること。脆弱性のあるWebサーバーでは、攻撃者が送信したデータに含まれるPerlコマンドを実行し、悪質なPerlスクリプトをダウンロードおよび実行する(図2)。