• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

記者の眼

記者は「ShellShock」に触れてみた、そして震え上がった

斉藤 栄太郎=日経コンピュータ 2014/10/02 日経コンピュータ

 LinuxなどUNIXベースのOSで広く使われているシェル(コマンド実行環境)「GNU Bash」で2014年9月24日に見つかった非常に危険な脆弱性、いわゆる「ShellShock」の件で、IT業界が大騒ぎになっている(関連記事:「Bash」に重大な脆弱性、Heartbleed以上に危険との見方も)。

 記者は先週末、取材でほとんど外に出ていたが、取材先を訪問するたびに必ずこの話題が出ていたほど。もちろん、ITproはじめIT系ニュースサイトもShellShock関連のニュースを盛んに取り上げている。既にこの脆弱性を悪用する攻撃も始まっており、ボットネットも出現している。この先どんな被害が出るのか、想像するのも困難な状況だ。

 記者は、記者としてこの手のセキュリティ記事を書く立場だが、対策をとるべきインターネットサイトの運用者としての立場も持っている。自宅で固定IPアドレス(IPv4)を契約しており、Linuxサーバーを運用しているからだ(関連記事:「身近なモノ+IT」が楽しすぎる――夏休みの自由研究提出編)。

 そんなわけでモロにこの脆弱性に当たったので、すぐにBashをアップデートするなどの対策を施した(写真1写真2)。これで一応大丈夫になったはずである。

写真1●自宅サーバーと稼働しているRaspberry PiのBashをアップデートした
[画像のクリックで拡大表示]
写真2●一応対策できたはずだ(実行している内容については後述)
[画像のクリックで拡大表示]

自分で触らないと本当の怖さが分からない

 アップデートの前にこのShellShockについて入念に情報を調べたので、記者はそれなりに怖さを理解しているつもりでいる。が、本当の意味で分かっているかと問われると少々自信がない。脆弱性の危険度について「リモートからxxされる危険がある」「任意のコマンドを実行される」あるいは「CVSSの数値がいくら」などと言われても、ピンと来ないのだ。

ここから先はITpro会員(無料)の登録が必要です。

次ページ こうした脆弱性がいかに危険かを学ぶには、やはり自...
  • 1
  • 2
  • 3
  • 4
  • 5

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

設計/開発

サーバー/ストレージ

ネットワーク/通信サービス

セキュリティ

もっと見る