FAQ:Bashの脆弱性「Shellshock」について知っておくべきこと(後編)

Michael Lin Larry Seltzer (Special to ZDNet.com) 翻訳校正: 川村インターナショナル 2014年10月09日 06時00分

  • このエントリーをはてなブックマークに追加

 UNIXとLinuxの「Bash」シェルに見つかった脆弱性「Shellshock」はどのようなもので、どういった影響を与えるのだろうか。前編に引き続きQ&A方式で解説する。

Shellshockはどれほど深刻なのか

 Shellshockの存在が最初に公表されたとき、少なくとも何十万台ものインターネット接続サーバが、脆弱性が容易に悪用される状態にあった。これは控えめな試算だ。これらのサーバの多くがその後、侵害された可能性は非常に高い。

 このバグを悪用するのは極めて簡単だ。特別なツールやカスタムツールは必要ない。概念のレベルから理解するのも容易である。既に概念実証スクリプトやデモ、キットが広く出回っている。

 このエクスプロイトがもたらす被害は重大だ。通常、攻撃者はリモートから認証なしでコマンドを注入することができる。攻撃ベクトルが見つかれば、任意のコードを簡単に実行できるようになることが多い。

 このバグは20年以上前からBashコード内に存在している。さまざまな個人が独力でこのバグを発見し、これまで秘密にしてきた可能性がある。一般の人々に公表されるまで、このバグが悪意の目的で野放図に利用されてきた可能性もある。しかし、公表されるまでこのバグの存在が世界に知られていなかった可能性もそれと同じくらい高い。

 脆弱なサーバの多さとエクスプロイトツールの入手のしやすさ、エクスプロイトが成功した場合の重大な被害を総合して考えると、この脆弱性は極めて深刻なものと言える。

身を守るためにセキュリティチームができること

 システムにパッチを適用すること。ベンダーから最新のパッチを入手して、Bashに適用し、最新のバージョンにアップデートしよう。メンテナーがパッチを再発行する可能性があること、そして、まだ修復されていないBash脆弱性向けに新しいパッチが公開される予定であることを留意して欲しい。

 システムの安全度を確認する。システムにパッチが適用されておらず、脆弱性があるかどうかを確認できる素晴らしいガイドをRed Hatが公開している(リンクを参照)。

 Bashにパッチを適用することができない、または、自分のプラットフォーム向けのパッチが公開されていない場合は、別のシェルへの切り替えを検討しよう。

 ネットワークとサーバセキュリティ製品をアップデートする。エクスプロイトの試みを検出および防止するために、適切なルールセットでIPSシステムをアップデートする必要がある。

 ネットワーク内と自社の不正なサーバおよびアクセスポイントの監視を続けよう。

IPSはどれほど効果的なのか

 IPSなどのネットワークベースの検知システムは、Shellshockエクスプロイトの検知および防止に非常に効果的だ。この脆弱性を引き起こす文字列はとても特徴的なので、検知するのはかなり簡単である。誤検出の可能性も比較的低い。なぜなら、悪意のあるデータは特定の場所に現れ、その文字列がほかの場所で使われることはまれだからだ。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

連載

CIO
ITアナリストが知る日本企業の「ITの盲点」
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]