PR

 世界のセキュリティベンダーのブログから、押さえておきたい話題を紹介する。最近一番の話題は「Shellshock」である。LinuxなどのUNIX系OSで広く使われているシェル「Bash」に見つかった脆弱性で、大規模で深刻な被害をもたらす攻撃に発展する可能性が高く、どのベンダーもShellshockに関する解説や考察を掲載している。

 トレンドマイクロはShellshockを巡る攻撃のシナリオをブログで考察した。

サーバー
 最も狙われやすいのはCGI環境を利用したWebサーバーだ。すでにCGIスクリプティングを用いた攻撃をトレンドマイクロは確認しており、今後こうした攻撃が増えると見ている。

 Webサーバーが乗っ取られると、企業は甚大な損害を被るおそれがある。攻撃者はWebサーバーを入り口として企業のネットワークに入り込んで来るためだ。Shellshockと権限昇格脆弱性による他の手口を組み合わせれば、攻撃者は完全にサーバーを支配することができる。

 WebサーバーだけでなくSSHも攻撃に利用される可能性がある。現時点で、Bashを使用しているUNIXおよびLinuxベースのサーバーはいずれも影響を受けると考えてよい。

エンドポイント

 直接Shellshockのリスクに曝されるエンドユーザーは少ないだろう。まずWindowsシステムはShellshockの対象外であり、現在LinuxやOS XなどUNIXをベースとするOSを搭載したパソコンは全体の約10%と見られる。これらOSはShellshockの影響を受ける可能性があるとはいえ、攻撃は簡単ではない。エンドポイントは通常、HTTPサーバーのような攻撃者がアクセスしやすいネットワークサービスを運用していないためリスクは低くなる。

 エンドユーザーにとって最も心配なのは、不正なDHCPサーバーを介した攻撃といえる。BashはDHCPクライアントのシステム設定に使われるので、不正なDHCPサーバーに接続しているクライアントが悪質なコマンドをシステム上で実行してしまうことが考えられる。この手口は、オープンな不正Wi-Fiネットワークを介した場合に最も簡単に実行できる。

 モバイルデバイスについては、AndroidもiOSも影響を受けない。ただし、ジェイルブレイクしたiOSデバイスや、ルート化してUNIX系OSを稼働させているデバイスは対象になる可能性がある。

組み込みデバイス/IoE関連器機

 「あらゆるモノのインターネット(IoE:Internet of Everything)」を構成する多くの組み込みデバイスは組み込みLinuxをベースにしているため、影響を受けるおそれがある。セキュリティが侵害されれば、これらデバイス上の情報が盗まれるだけでなく、デバイス自体がボットネットの一部としてさまざまな不正活動に利用されてしまうかもしれない。しかしBashの代わりに「BusyBox」を使っている組み込みデバイスには影響はない。

 Shellshockの影響を受ける場合、IoEデバイスを診断してパッチを適用することは極めて難しい。システムが脆弱かどうか調べる標準的なテストをIoEデバイス上で実施するのも困難を伴う。また、IoE関連ベンダーは、修正パッチの提供に関して十分な実績がない。IoEデバイスの分野は、長期にわたるShellshock対策において、重要な問題となる可能性がある。

 一方、米マカフィーは、脅威のシナリオにおいて「脆弱なホスト」と、「実際に攻撃されるホスト」の区別が重要だと指摘している。Bashは、Linux、Debian、Ubuntu、OS Xなど多くのシステムに使用され、Androidにも追加が可能だ。これらはShellshockの影響を受けるものの、すべてが危機に曝されていわけではない。

 Shellshock攻撃を遂行するためには多数の変数が使われる。マカフィーの研究チームは現在脅威の詳細を懸命に分析しており、詳しいことが分かり次第報告するとしている。現時点では各ベンダーのアドバイスに従ってパッチやアップデートを実施することを勧めている。