FAQ:Bashの脆弱性「Shellshock」について知っておくべきこと(後編)

Michael Lin Larry Seltzer (Special to ZDNET.com) 翻訳校正: 川村インターナショナル

2014-10-09 06:00

 UNIXとLinuxの「Bash」シェルに見つかった脆弱性「Shellshock」はどのようなもので、どういった影響を与えるのだろうか。前編に引き続きQ&A方式で解説する。

Shellshockはどれほど深刻なのか

 Shellshockの存在が最初に公表されたとき、少なくとも何十万台ものインターネット接続サーバが、脆弱性が容易に悪用される状態にあった。これは控えめな試算だ。これらのサーバの多くがその後、侵害された可能性は非常に高い。

 このバグを悪用するのは極めて簡単だ。特別なツールやカスタムツールは必要ない。概念のレベルから理解するのも容易である。既に概念実証スクリプトやデモ、キットが広く出回っている。

 このエクスプロイトがもたらす被害は重大だ。通常、攻撃者はリモートから認証なしでコマンドを注入することができる。攻撃ベクトルが見つかれば、任意のコードを簡単に実行できるようになることが多い。

 このバグは20年以上前からBashコード内に存在している。さまざまな個人が独力でこのバグを発見し、これまで秘密にしてきた可能性がある。一般の人々に公表されるまで、このバグが悪意の目的で野放図に利用されてきた可能性もある。しかし、公表されるまでこのバグの存在が世界に知られていなかった可能性もそれと同じくらい高い。

 脆弱なサーバの多さとエクスプロイトツールの入手のしやすさ、エクスプロイトが成功した場合の重大な被害を総合して考えると、この脆弱性は極めて深刻なものと言える。

身を守るためにセキュリティチームができること

 システムにパッチを適用すること。ベンダーから最新のパッチを入手して、Bashに適用し、最新のバージョンにアップデートしよう。メンテナーがパッチを再発行する可能性があること、そして、まだ修復されていないBash脆弱性向けに新しいパッチが公開される予定であることを留意して欲しい。

 システムの安全度を確認する。システムにパッチが適用されておらず、脆弱性があるかどうかを確認できる素晴らしいガイドをRed Hatが公開している(リンクを参照)。

 Bashにパッチを適用することができない、または、自分のプラットフォーム向けのパッチが公開されていない場合は、別のシェルへの切り替えを検討しよう。

 ネットワークとサーバセキュリティ製品をアップデートする。エクスプロイトの試みを検出および防止するために、適切なルールセットでIPSシステムをアップデートする必要がある。

 ネットワーク内と自社の不正なサーバおよびアクセスポイントの監視を続けよう。

IPSはどれほど効果的なのか

 IPSなどのネットワークベースの検知システムは、Shellshockエクスプロイトの検知および防止に非常に効果的だ。この脆弱性を引き起こす文字列はとても特徴的なので、検知するのはかなり簡単である。誤検出の可能性も比較的低い。なぜなら、悪意のあるデータは特定の場所に現れ、その文字列がほかの場所で使われることはまれだからだ。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]