LinuxなどUNIXベースのOSで広く使われているシェル(コマンド実行環境)「GNU Bash」で2014年9月24日に見つかった非常に危険な脆弱性、いわゆる「ShellShock」の件で、IT業界が大騒ぎになっている(関連記事:「Bash」に重大な脆弱性、Heartbleed以上に危険との見方も)。
記者は先週末、取材でほとんど外に出ていたが、取材先を訪問するたびに必ずこの話題が出ていたほど。もちろん、ITproはじめIT系ニュースサイトもShellShock関連のニュースを盛んに取り上げている。既にこの脆弱性を悪用する攻撃も始まっており、ボットネットも出現している。この先どんな被害が出るのか、想像するのも困難な状況だ。
記者は、記者としてこの手のセキュリティ記事を書く立場だが、対策をとるべきインターネットサイトの運用者としての立場も持っている。自宅で固定IPアドレス(IPv4)を契約しており、Linuxサーバーを運用しているからだ(関連記事:「身近なモノ+IT」が楽しすぎる――夏休みの自由研究提出編)。
そんなわけでモロにこの脆弱性に当たったので、すぐにBashをアップデートするなどの対策を施した(写真1と写真2)。これで一応大丈夫になったはずである。
写真1●自宅サーバーと稼働しているRaspberry PiのBashをアップデートした
[画像のクリックで拡大表示]
写真2●一応対策できたはずだ(実行している内容については後述)
[画像のクリックで拡大表示]
自分で触らないと本当の怖さが分からない
アップデートの前にこのShellShockについて入念に情報を調べたので、記者はそれなりに怖さを理解しているつもりでいる。が、本当の意味で分かっているかと問われると少々自信がない。脆弱性の危険度について「リモートからxxされる危険がある」「任意のコマンドを実行される」あるいは「CVSSの数値がいくら」などと言われても、ピンと来ないのだ。
