今週明らかになった重大な「Shellshock」バグは、一見すると壊滅的な被害をもたらすように聞こえます。Unix系システムに搭載されているBashシェルコマンドラインツールのバグを悪用することで、攻撃者はシステム上でコードを実行でき、実質的にシステムへのアクセスを許してしまうのです。攻撃者はすでに、Shellshockを利用してパスワードを解読し、コンピューターにDDoSボットをインストールするエクスプロイトを開発しています。また、Bashシェルはほぼ普遍的な存在であるため、Mac、Linuxシステム、ルーター、ウェブサーバー、「IoT」機器など、実に様々なデバイスがShellshockの影響を受けています。
そうですね、それは悪いですね。
しかし、実際には、特に基本的な予防策を講じれば、自宅への影響は 最小限に抑えられるはずです。Cygwinのようなプログラムを実行しない限り、Windowsシステムは全く脆弱ではありません(ただし、ルーターは脆弱である可能性があります)。
コンピュータがShellshockに対して脆弱かどうかを判断する方法
本題に入る前に、システムで脆弱なバージョンの Bash シェルが実行されているかどうかを確認する方法について簡単に説明します。(最新バージョンの OS X または Linux を実行している場合は、おそらく脆弱なバージョンが実行されている可能性があります。)
ロバート・グラハムコンピュータでターミナルを開き、次のように入力するだけです。
env x='() { :;}; echo 脆弱である' bash -c “echo これはテストです”
システムが Bash バグに対して脆弱である場合、次のメッセージが表示されます。
脆弱
これはテストです
一方、バグから保護するためにシステムがすでにパッチ適用されている場合は、次のようなものが表示されます。
$ env x='() { :;}; echo vulnerable' bash -c “echo this is a test” bash: 警告: x: 関数定義の試行を無視しています bash: `x' の関数定義のインポート中にエラーが発生しました これはテストです
ああ、大変!あなたのシステムはまだShellshockに対して脆弱です!どうすればいいですか?
平均的なコンピュータユーザーであれば、特に深刻な被害はないでしょう。コンピュータがファイアウォールで安全に保護されている(そうあるべきです)のであれば、攻撃者は何らかの方法でコマンドをローカルで実行させない限り、Bashシェル経由で悪意のあるコードを実行する手段がないため、影響は最小限に抑えられるはずです。Shellshockは、家庭用PCよりも、インターネットコマンドを「リッスン」するWebサーバーやデバイスにとってより危険です。
Apple は、iMore に提供された Shellshock バグへの対応の中で、この点を強調しました。
「OS Xユーザーの大多数は、最近報告されたbashの脆弱性の危険にさらされていません。…OS Xでは、システムがデフォルトで安全であり、ユーザーが高度なUNIXサービスを設定しない限り、bashのリモートエクスプロイトにさらされることはありません。私たちは、高度なUNIXユーザーのためにソフトウェアアップデートを迅速に提供できるよう取り組んでいます。」
Mac で上級の Unix ユーザーである場合は、この StackExchange スレッドで、Xcode を使用して Bash を再コンパイルし、バグをすぐに修正する方法がわかります。
シマンテック Shellshock Bash バグの仕組みをシマンテックが視覚的に解説します。
Linuxをご利用の場合、Red Hat、Ubuntu、Debian、Fedora、CentOSなど、大手ディストリビューションのほとんどが既にShellshockへのパッチをリリースしています。ただし、この重要なアップデートはShellshockへの対策が中心ですが、Red Hatの説明にあるように、まだ不完全であることに注意してください。
「Red Hatは、CVE-2014-6271に対するパッチが不完全であることを認識しています。攻撃者は、特定の条件下で脆弱なシステム上で実行される任意のコマンドを含む、特別に細工された環境変数を提供する可能性があります。…私たちは、アップストリーム開発者と連携し、最優先事項としてパッチの開発に取り組んでいます。…Red Hatは、お客様に対し、CVE-2014-6271の修正を含むBashのバージョンにアップグレードし、[追加の]パッチを待つことなくアップグレードすることを推奨します。」
パソコンのOSだけでなく、多くのインターネット対応デバイス(ネットワーク機器も含む)もShellshockの脆弱性を抱えています。ルーターのメーカーのウェブサイトを確認し、ファームウェアが最新であることを確認してください。
結論
慌てないで!シェルショックでは世界の終わりではありません。
LinuxまたはOS Xをご利用の場合は、最新のセキュリティアップデートをできるだけ早くインストールしてください。ネットワーク機器も最新のファームウェアで動作していることを確認してください。(現在アップデートが公開されていない場合は、数日後にルーターのメーカーのウェブサイトを確認してください。)また、ソフトウェアをローカルで実行するように誘導したり、Shellshockの恐怖につけ込んで個人情報やサービスのログイン情報を盗み取ろうとする悪意のあるメールには十分注意してください。このような大きな恐怖は、常に恐怖を掻き立てます。
PCWorldの巧妙なセキュリティトラップからPCを守る方法と悪意のあるメールを見分ける方法に関するガイドは、後者の対策に役立ちます。Shellshockに関する詳細な情報(Bashのバグがセキュリティカメラやスマート家電などのIoTデバイスに及ぼす影響を含む)については、このバグに関する当社のオリジナルレポートをご覧ください。
