PR
Shellshock

Linuxなど、UNIX系のOSが広く搭載するプログラム(シェル)が抱える脆弱性。2014年9月下旬に発覚した。Webサーバーやネットワーク機器などが影響を受ける。

 「Shellshock」とは、2014年9月下旬に発覚した、LinuxなどUNIX系OSの多くが抱える脆弱性の通称である。ユーザーがファイル操作やアプリケーション起動などを行うためのプログラム(シェル)の欠陥だ。「bash」と呼ばれるシェルに不具合があり、これを悪用すれば、ネットワーク経由で任意のプログラムを実行されてしまう。

 Linuxといえばサーバー用OSのイメージが強いが、個人ユーザーでも注意が必要だ。Linuxは、周辺機器などへの組み込み用OSとしても広く使われている。無線LANルーターやNASをはじめとしたネットワーク機器も、攻撃を受ける可能性がある(図1)。機器側でbashを利用するアプリケーションが動作していれば、任意のコマンドを送り込まれてしまう(図2)。その結果、ファイルを改ざんされたり、データが盗まれたりする危険性がある。

●Linuxなどが搭載するプログラムに脆弱性が見つかった
図1 LinuxなどUNIX系OSが備える「bash」に欠陥が見つかった。これを突かれると、情報が盗まれたりファイルを改ざんされたりする恐れがある。Webサーバーのほか、個人向けの無線LANルーターやNASなども攻撃対象になり得る
図1 LinuxなどUNIX系OSが備える「bash」に欠陥が見つかった。これを突かれると、情報が盗まれたりファイルを改ざんされたりする恐れがある。Webサーバーのほか、個人向けの無線LANルーターやNASなども攻撃対象になり得る
[画像のクリックで拡大表示]

●悪意あるコマンドを実行される恐れ
図2 bashの脆弱性を突いて、「nikkei」と表示させるコマンドを実行させたところ。画面は手元のパソコンで操作したものだが、Webサーバーなどに対しても同様の操作ができる
図2 bashの脆弱性を突いて、「nikkei」と表示させるコマンドを実行させたところ。画面は手元のパソコンで操作したものだが、Webサーバーなどに対しても同様の操作ができる
[画像のクリックで拡大表示]