「shellshock」とも呼ばれるBashのバグに関して情報が公開されてから1日も経たないうちに、攻撃者がすでにこれを利用する方法を模索していることが明らかになった。
セキュリティ研究者は今週、Bashに存在する深刻なバグを悪用する概念実証コードを発見した。US CERTによれば、この問題はLinuxと「Mac OS X」に影響がある。
幸い、一部のLinuxディストリビューションでは、情報公開当日である米国時間9月24日のうちにパッチが公開されたが、これらのパッチはまだ不完全であることが明らかになっている。Red Hatはユーザーに対し、同社は新しいパッチを準備中だが、当面はこの不完全なパッチを適用することを推奨している。
セキュリティ専門家がこのバグを修正しようと急いでいる一方、ハッカーも脆弱性のあるシステムを攻撃するツールの開発に取り組んでいるようだ。
セキュリティ研究者のYinette氏は24日、このCVE-2014-6271で公開されたバグを悪用する最初の攻撃が出回っているのを発見したと報告している。
malwaremustdie.orgのセキュリティ研究者がこのマルウェアを分析したところ、DDoS IRCボットや脆弱なパスワードのリスト(「root」「admin」「login」「123456」など)を使ったパスワード推測機能などを含む、数多くの機能を備えていることが分かった。
AusCERTも同日、このバグを悪用する攻撃が出ているという報告があったことを明らかにした。
また、セキュリティ研究者のRobert Graham氏は、この脆弱性を持つシステムを少なくとも3000件発見したと述べている。ただし、このスキャンで調べているのはシステムの80番ポートだけで、本当に危険なのはポート番号を変えている組み込みウェブサーバであり、これらをスキャンすれば「この2倍の結果が出るだろう」としている。
同氏はまた、アドバイザリで報告されているように、DHCPサービスにも脆弱性があると警告している。「この簡単なスキャンでは3000件しか発見できなかったが、これは明らかにワーム攻撃の対象となるもので、簡単にファイアウォールの裏側に達し、多くのシステムに感染する可能性がある。重要な問題は、Mac OS Xと『iPhone』のDHCPサービスにこの脆弱性があるかどうかだ。ワームがファイアウォールの裏側に入り、悪意のあるDHCPサーバーが実行されれば、大規模ネットワークが『ゲームオーバー』」になってしまう」(Graham氏)
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。