UNIXの「Bash」にバグ発覚、Heartbleedより怖いかも。

2014.09.26 20:20
  • このエントリーをはてなブックマークに追加

140926_bash.jpg


Macユーザーの方、Webカメラ使ってる方は特に注意!

Shellshockとは、いたるところのコンピュータで使われているソフトウェア「Bash」に新たに見つかった脆弱性です。それは先日大騒ぎになったOpenSSLのバグ「Heartbleed」に似ていますが、それより問題が大きいとする専門家もいます。

BashはUNIXの「シェル」で、平たく言うとユーザがUNIXベースのシステムとお話するためのコマンドラインインターフェースです。元々1980年に書かれたBashですが、長年の間にただのコマンドラインから幅広く使われるユーティリティに成長していきました。といっても「Bashなんて見たことないけど?」という人がほとんどだと思いますが、たとえばOS XやLinuxではBashが使われています。またWindowsやAndroidはほとんどの場合大丈夫という人もいますが、米GizmodoのMario Aguilar記者は「WindowsにもAndroidにもみんなポートされている(から安心できない)」と言っています。

Shellshockのバグを発見したのは、オープンソースのソフトウェア会社Red Hatのチームでした。そのチームによると、攻撃者はBashに任意のコードを注入できてしまいます。Red Hatによる説明のキャッシュがこちら(英文です)にあります。

技術的な詳細はさておき理解すべきなのは、パッチをあてていないシステムは遠隔で攻撃される可能性があるということです。BashはよくWebサーバで使われているので、理論上Webサイト全体をのっとることができます。

また自分ではWebサーバを運営しているつもりがなくても、たとえばWebカメラなどネットにつながったデヴァイスにはサーバ機能が内蔵されているので、同様の脆弱性があります。でも最悪なのは、個人のパソコンでもネットワーク上の攻撃者がパソコン上のデータをごっそり盗みとっていく可能性もあるってことです。

ただShellshockがHeartbleedに似ているとされる理由は、バグの広がり具合を捉えきれないくらい普及しているからです。Bashは長年にわたってあまりに多くのシステムで使われているので、そのバグがすべてのシステムで対処されることは今後ないと思われます。

セキュリティ研究者のRobert Graham氏はこう懸念を述べています

既知のシステム(たとえばWebサーバ)はパッチがあてられたとしても、未知のシステムはそのままになる。Heartbleedではそれが起きていて、あれから半年、数十万のシステムに脆弱性が残ったままだ。これら未知のシステムがWebサーバであることはまれで、インターネット対応カメラのようなものであることが多い。

Webカメラのような「Internet of Things」系デヴァイスはWeb機能を有効にしたBashをベースにしているので特に危険です。個人で管理しているのでパッチもあてられないことが多いし、外の世界に対し脆弱性をさらす可能性も高いのです。

つまり、わかりやすく危険なシステムは修正されるけど、Bashを使っているかわかりにくいシステムはそのまま放置されるということです。ソフトウェア・アーキテクトのTroy Hunt氏もこう書いています

より懸念が大きいのは、パッチ方法が難しいデヴァイス、たとえば個人のルータだ。ユーザーがメーカーのWebサイトにファームウェアのアップデートをチェックしにいくことも少ないので、かなりの難物となるだろう。

ISPから支給されるルータは、ユーザーが勝手に設定やファームウェアをいじらないようにロックされていることも多く、ISP側からリモートアップグレードする手段も必ずあるわけではない。さらにその種のデヴァイスの台数やその年数を考えると、非常にトリッキーだ。それにルータのファームウェアアップデートなどは、平均的なユーザーが平気で自らやろうと思える種類のことでもない。

で、何をすればいいかというと、Macユーザーの方はOS Xのセキュリティアップデートを待ちましょう。きっともうすぐ出てくるはずです。ルータのファームウェアをつねに最新にしている人は少ないと思いますが、もしメーカーからファームウェアがアップデートされたら、それは入れておいたほうがよさそうです。


source: Red Hat

Mario Aguilar - Gizmodo US[原文
(miho)

  • このエントリーをはてなブックマークに追加
・関連メディア