【Shellshock問題】Apple、「Macユーザーの圧倒的大多数は安全」とコメント

Appleは、「Shellshock問題」について、「Mac（OS X）ユーザーは、この新しく発見されたセキュリティの脆弱性の影響を受けない」とコメントしたと、CNET、NYTimesなどが9月26日に、CNET Japanも29日付で伝えています。

問題の脆弱性は「Shellshock」と呼ばれ、米国立標準技術研究所（NIST）が出した脅威評価は10段階中「10」とのことで、最も重大な脅威評価になっています。ちなみに、「Shellshock」とは戦闘状態で砲弾を受けて「大ショック」「頭が混乱」「動揺」を来すとの意味のようです。

Red Hatが2014年9月24日（現地時間）に公開したRed Hat Security「Bash specially-crafted environment variables code injection attack」によると、攻撃者に一定の条件のもとで環境変数を使って脆弱性を突かれることで、環境変数に含まれる不正なコマンドを許可してしまう可能性があり、そのコマンドによりリモートでコントロールされてしまう。今年2014年春に大問題として話題になったOpenSSLの脆弱性「Heartbleed（心臓出血）」はまだ記憶に新しいところですが、それ以上に被害が拡大するとも言われています。Heartbleedはサーバーのメモリーからデータを盗み出すことに使われましたが、「Shellshock」は攻撃者がシステムの制御を奪い、犯罪目的やサイバースパイなどに悪用することを可能にしてしまうとのことです。

今回の「Shellshock問題」は、UNIXおよびLinuxで広く使われているシェル「Bourne Again Shell（Bash）」に重大な脆弱性「CVE-2014-6271」が確認されたもの。AppleのOS Xはご存知の通り、UNIXをベースにしており、Macはこのセキュリティの脆弱性によって大きな影響を受けるものとされていました。気先を制する今回のAppleの「Mac（OS X）ユーザーは、この新しく発見されたセキュリティの脆弱性の影響を受けない」とのコメントは、ユーザーにとって心強い発表です。

けれど、また「高度なUNIXサービスを再構成している場合は攻撃される危険性がある」として、高度なUNIXユーザーに対して早急にソフトウエアアップデートを配布できるように取り組んでいるとも報道されています。

Red Hatによると、Bashの開発元からすぐにパッチがリリースされたものの、「CVE-2014-6271のパッチは不十分」と指摘しています。すでに、このセキュリティの脆弱性を突いた攻撃が模索されており、セキュリティ研究者はBashに存在する深刻なバグを悪用する概念実証コードを発見したとしています。米国の情報セキュリティ対策組織「US CERT」は、この件に関してLinuxと「Mac OS X」に影響があるとの見解を公表しています。

セキュリティ研究者Robert Graham氏によれば、簡易なスキャンを実施したところ、この脆弱性を持つシステムを既に3,000件は発見していると述べています。大規模なUNIX系のシステムということで、わたしたちにはあまり関係ないと思われるかもしれませんが、DHCPサービスにも脆弱性があると警告しており、「Mac OS X」やiPhoneなどの「iOS」に実際にDHCPサービスの脆弱性がある可能性を否定できません。もし、攻撃者にこのDHCPサービスの脆弱性が発見されれば、多くのユーザーにとっても人ごとではなくなります。

「Shellshock」と命名された「Bourne Again Shell（Bash）」における重大な脆弱性「CVE-2014-6271」が確認されたのはつい最近のことです。今回のこの「Shellshock」は、今春の「Heartbleed」を彷彿とさせます。「Heartbleed」と呼ばれる脆弱性は４月に発見され、現在も30万台に及ぶサーバーが危険にさらされたままの状態であると言われています。ネットワーク社会の落とし穴は、いたるところに潜んでいるという感じですね。
今は、今回のAppleの「安全宣言」を信頼して時を待つしか無さそうです。ちなみに、Googleも「AndroidではBashではなく「Mksh」を使用しているため、問題の脆弱性は存在しない」との声明を発表しています。このまま収束して行くことを期待しましょう。

OpenSSLバグ関連

【OpenSSLバグ問題】Microsoftも安全宣言。「『Heartbleed』脆弱性の影響を受けません」

【OpenSSLバグ問題】Apple、自社製品での「情報漏えいの心配はない」ことを公表

【OpenSSLバグ問題】ネットエージェント、Heartbleed脆弱性検査サービスを無償提供

まずはパスワード変更を！ OpenSSLに見つかった「Heartbleed」バグへの対処

▶︎ Bash specially-crafted environment variables code injection attack | Red Hat Security
▶︎ Resolution for Bash Code Injection Vulnerability via Specially Crafted Environment Variables (CVE-2014-6271, CVE-2014-7169) in Red Hat Enterprise Linux - Red Hat Customer Portal
▶︎ 'Vast majority' of Mac users safe from Shellshock Bash bug, Apple says - CNET
▶︎ Companies Rush to Fix Shellshock Software Bug as Hackers Launch Thousands of Attacks - NYTimes.com
▶︎ Bourne-Again Shell (Bash) Remote Code Execution Vulnerability | US-CERT
▶︎ 「Bash」に重大な脆弱性、Heartbleed以上に危険との見方も：ITpro
▶︎ 重大な脆弱性Shellshock、「ほとんどのOS Xユーザーは安全」とApple：ITpro
▶︎ 「Bash」のバグを利用する攻撃、早くも見つかる - CNET Japan
▶︎ Bashの脆弱性、「Mac」ユーザーの圧倒的大多数に影響なし--アップルがコメント - CNET Japan