2014年の話題に戻ると、9月に「Shellshock」と呼ばれる事件が起こった。その事件とは、Linuxを中心に広く使われる高機能シェルであるbashに、極めて致命的なOSコマンドインジェクション脆弱性が見つかったものだ。この脆弱性によって環境変数を使って任意のシェルスクリプトが実行可能になり、攻撃者が攻撃先サーバのあるプロセスの環境変数を任意に設定できる場合、そのプロセスからbashが起動するタイミングで任意のシェルスクリプトを実行できてしまう。そして、「shock」という言葉が使われていることが示すように、極めて広範囲に深刻な影響を及ぼすショッキングな脆弱性であった。
そして、2014年のOSSの脆弱性事件はこれらだけに終わらない。同年10月には、SSL 3.0のうちブロック暗号をCBCモードで利用した暗号通信に仕様上の脆弱性が見つかった。この脆弱性は「POODLE」攻撃と呼ばれ、被害者に何度も任意のURLに対するHTTPS通信を繰り返させるという条件が整えば、暗号文の中の文字列(具体的にはcookie)を解読できるというものだった。対応策は幾つかあったが、抜本的なものはSSLではなくTLSという全く別の通信の仕組みに変更してしまうというものだ。
しかし、やはりこれもクライアントの対応は比較的容易なものの、サーバ環境は複雑なため、簡単にTLSへ変更とはならないのが現実のようだ。修正パッチをあてるだけでも、それなりの動作検証が必要ということを考えると、仕組み自体を変えるということは、システムの現場への負荷は比べ物にならない。そのため、「TLSへの変更がベスト」と考えるシステム管理者が多くいても、そう簡単に実施できるものではない。
このように、2014年はOSSの脆弱性の頻発する年となった。これらの事件と先述したように、そもそもOSSが一般に無料のソフトウェアという認識が強かったことから、日本に昔からある「安かろう、悪かろう……」という言葉の連想と重なってしまった。それによってOSS自体が脆弱であり、OSSを使ったシステムにセキュリティインシデントが多数発生するイメージが根付いてしまった。それが、この2014年で決定的になってしまったと筆者は感じている。
次回は、システムの運用管理という観点も付加しながら、本当にOSSが脆弱なのかという議題を掘り下げてみたい。
- 武田 一城(たけだ かずしろ)
- 株式会社ラック 1974年生まれ。システムプラットフォーム、セキュリティ分野の業界構造や仕組みに詳しいマーケティングのスペシャリスト。次世代型ファイアウォールほか、数多くの新事業の立ち上げを経験している。web/雑誌ほかの種媒体への執筆実績も多数あり。 NPO法人日本PostgreSQLユーザ会理事。日本ネットワークセキュリティ協会(JNSA)のワーキンググループや情報処理推進機構(IPA)の委員会活動、各種シンポジウムや研究会、勉強会での講演なども精力的に活動している。