警察庁は2015年2月25日、GNU Bashの脆弱性「ShellShock」を狙ったWebサーバー(Webサイト)への攻撃が急増していると注意を呼びかけた。Webサーバーを乗っ取られる恐れなどがある。Webサーバーの管理者は対策が急務だ。
GNU Bashは、LinuxなどUNIXベースのOSで広く使われているシェル(コマンド実行環境)の一つ。2014年9月末、Bashに危険な脆弱性が見つかり、以降、OSベンダーやセキュリティベンダーなどが注意を呼びかけている。
影響の大きさから、脆弱性はShellShockと名付けられた(関連記事:危なすぎるBashの脆弱性「Shellshock」)。インターネットに接続されたWebサーバーやルーターなどでは、細工を施されたデータを送られるだけで脆弱性を突かれ、乗っ取られる恐れなどがある。
警察庁は2月18日から2月24日までの間、Bashの脆弱性を狙ったと思われるTCPポート80番へのアクセス増加を確認した(図1)。TCPポート80番はWebサーバーが使用するポートなので、ShellShockが存在するWebサーバーへの攻撃を狙ったアクセスだと考えられる。
図1●2014年9月25日から2015年2月25日までの、Bash の脆弱性を標的とした宛先ポート80/TCPに対するアクセス件数の推移(警察庁の発表資料から引用)
[画像のクリックで拡大表示]
攻撃者の目的は、Webサーバーで特定のPerlコマンドを実行させること。脆弱性のあるWebサーバーでは、攻撃者が送信したデータに含まれるPerlコマンドを実行し、悪質なPerlスクリプトをダウンロードおよび実行する(図2)。
図2●被害に遭ったWebサーバーの動作(警察庁の発表資料から引用)
[画像のクリックで拡大表示]
