Bashの脆弱性、「Shellshock」であらためて気づいたこと。

LinuxなどUNIX系OSで広く使われているシェルの「Bash」に脆弱性が見つかりました。それは「Shellshock」と名前がついています。世界中というと大げさかもしれませんが、Linuxなどのサーバを運営する技術者などは、対応に追われることとなりました。

この事件をつうじて、プログラムに完全はないのだということを改めて強く意識しました。どのようなことかは各社記事にしているので、少し紹介します。

UNIXベースのOSで広く使われているシェル「Bourne Again Shell（Bash）」に重大な脆弱性「CVE-2014-6271」が確認されたことを受け、米Appleは「大多数のOS Xユーザーは安全」とする声明を発表したと、複数の米メディア（New York TimesやCNETなど）が現地時間2014年9月26日に報じた。

問題の脆弱性は「Shellshock」と名付けられ、米国立標準技術研究所（NIST）が出した脅威評価は10段階中「10」（最も重大）だという。攻撃者に任意のコマンドの実行を許可するおそれがあり、2014年春に世間を騒がせたOpenSSLの脆弱性「Heartbleed（心臓出血）」より被害が拡大するともみられている（関連記事：「Bash」に重大な脆弱性、Heartbleed以上に危険との見方も）。

AppleのOS XはUNIXをベースにしているため、同社のパソコン「Mac」も影響を受けると懸念されているが、同社は「OS Xは初期設定でリモート攻撃に対する保護策が講じられているので、大多数のOS XユーザーはShellshockのリスクにさらされていない」と述べている。ただし「高度なUNIXサービスを再構成している場合は攻撃される危険性がある」とし、高度なUNIXユーザーのためにソフトウエアアップデートを早急に配布できるよう取り組んでいるという。

米Googleも声明を発表し、AndroidではBashではなく「Mksh」を使用しているため、問題の脆弱性は存在しないと述べた。しかし複数のセキュリティ専門家は、Androidがオープンソースであるため、多くの企業や開発者がBashを用いてAndroidを調整および統合している可能性を指摘している。

また、米セキュリティ企業のIncapsulaによると、すでにShellshockを狙った攻撃が行われており、24時間で1800以上のWebサイトに対する1万7400件の攻撃を確認した。攻撃の発信源として400個のユニークIPアドレスを特定しており、そのうち55％を中国と米国が占めるという。

今、スマートフォンが多く使われていますがそれらもUNIXの技術が使われています。いたずらに怖がる必要はありませんが、そのことは意識したほうがよいでしょう。

そして、現在使われているプログラムにはアップデートという名前のセキュリティ対応などが随時行われていることからもわかるように、不具合は必ず内側にあるのです。つまり、100％信じてよいプログラムはあり得ないのです。

日常の生活の便利さをコンピュータに頼っているとつい忘れてしまいがちですが、意識する必要があるなと感じました。

その上で、システムを利用するという。