Linux などで使用されるオープンソースプログラム「Bourne Again shell(bash)」に存在する脆弱性「Shellshock」が確認されたすぐ直後に、トレンドマイクロでは、この脆弱性を利用した攻撃を複数確認しました。それは、「分散型サービス拒否(DDoS)攻撃」を行う不正プログラムを Linuxシステム上に侵入させるものでした。しかし、この脆弱性の重大性を考えると、さらに大規模で、より深刻な被害をもたらす攻撃を確認することになるのは、ほぼ間違いないと思われます。いったい、どのようなシナリオが想定されるでしょうか。
■シナリオ1:サーバ
「Shellshock」を利用した攻撃を受ける危険性が最も高いのは Webサーバです。現時点では CGIスクリプティングが、この脆弱性を利用した攻撃に最も利用されやすいと言われています。これまでの記事で述べたように、弊社ではこの手法を利用した攻撃が実際に行なわれているのを確認しました。CGIスクリプティングを利用した攻撃は、今後さらに確認されると推測されます。
Webサーバが攻撃された場合、企業に与える被害は相当なものとなるでしょう。また、侵害されたサーバは、攻撃者が組織のネットワーク内に侵入するための「初期潜入」ともなります。攻撃者は、感染サーバ上でどんなコマンドも実行することが可能です。「Shellshock」と権限昇格の脆弱性と組み合わせて、感染サーバを完全に支配下に置くでしょう。
しかし、Webサーバだけが危険にさらされているアプリケーションではありません。SSH も同様に「Shellshock」脆弱性の攻撃で利用される可能性があります。このため、現時点では、bash を使用しているすべての Unix系OS および Linuxサーバが危険にさらされていると言えます。インターネットからアクセス可能な公開サーバは優先して対処を行うべきです。また、ローカルネットワーク内のサーバも侵入した脅威の攻撃基盤拡大に利用される可能性がありますので、脆弱性を放置することはできません。Linuxサーバの多くは、初期設定として bash を使用していますが、例外もあります。例えば、Unix系のオープンソース「FreeBSD」の初期設定のシェルは「tcsh」です。こうした bash の代替となるシェルは、この脆弱性の影響を受けません。
■シナリオ2:エンドポイント
エンドユーザへの「Shellshock」による直接的な被害は低いかもしれません。Windows OS には、「Shellshock」の被害の危険性はありません。そのため、Windows のユーザも、直接的にこの問題の影響は受けることはないでしょう。
2014年9月時点の情報では、PC を使用しているユーザの約10% が、Linux、Mac OS Xを使用しています。これらの OS は「Shellshock」の影響を受けますが、実際に攻撃をするのは困難です。攻撃者は、HTTPSサーバのようなネットワークサーバには簡単にアクセスできますが、エンドポイントではこうしたネットワークサーバ機能を通常稼働していません。そのため、危険度は低くなります。また、Mac のアプリケーションは、Unix や Linux のアプリケーションほど Shellスクリプトに大きく依存していません。しかし、SSH は遠隔から bash にアクセス可能な経路となるため、SSH は感染経路となる可能性があります。
エンドユーザにとって最大の懸念は、感染の可能性のあるルータや公衆無線LANスポット上で実行された不正な DHCPサーバを経由した攻撃かもしれません。bash は、DCHPクライアントのシステム設定に利用されます。不正な DHCPサーバに接続したクライアントサーバは、システム上で不正なコマンドを実行する可能性があります。これは、不正な公衆無線LAN を経由した場合に最も簡単に実行できます。そのため、ユーザはどの無線LANネットワークに接続されるかに注意を払って下さい。ただし、これは以前から弊社が推奨していることです。なお、Mac OS X はカスタムDHCPクライアントを利用しているため、DHCP 経由での攻撃の影響を受けません。
モバイル端末に関しては、Android端末は bash シェルを使用していないため、この脅威の影響を受けません。また iOS端末も同様です。ただし、許可のないソフトウェアで動作している「ジェイルブレイク」の iOS端末は bash を利用しているため、危険にさらされています。同様に、ルート権限を持つモバイル端末や改造した端末は、Unix系OS(bash)を搭載しているため、「Shellshock」の影響を受ける可能性があります。
■シナリオ3:「IoT」および「IoE」関連機器
「すべてをつなぐインターネット(IoE)」もしくは「モノのインターネット(Internet of Things、IoT)」に関連した多くの機器は、Linux の埋め込みバージョンを搭載しているため、攻撃を受ける可能性があります。これにより、IoT および IoE 関連機器上の情報が窃取され、またこうした機器がボットネットの一部となってさまざまな不正活動に利用される可能性があります。
しかし、bash はすべての IoE 関連機器で使われているわけではありません。多く機器では、標準Unixコマンドの機能を 1つの実行ファイルで提供する「BusyBox」を使用しており、bash は使われていません。こうした bash を使用していない機器は、この脆弱性の影響を受けません。
しかし、「Shellshock」の影響を受ける IoE 関連機器を診断し、修正プログラムを適用するのは非常に困難です。システムが脆弱性を抱えているかを確認する一般的なテストを、bash を埋め込んだ機器上で行うことも困難を伴います。同様に、IoE製品を提供する多くの企業では、更新プログラムに関する実績はまだ理想的と言えません。「Shellshock」に対する長期的な軽減策に関して、IoE の分野は深刻な問題となるでしょう。
■トレンドマイクロの対策
現段階では、インターネットに接続するサーバを管理する IT管理者が、この攻撃を最も憂慮すべきでしょう。これまでの記事で述べてきたように、この脆弱性の修正プログラムは、多くのベンダから提供されています。
トレンドマイクロは Deep Discovery Inspector 向けに以下のルールを公開しており、これによりこの脆弱性を利用した攻撃を検知することができます。
- 1618 – Shellshock HTTP REQUEST
ディープセキュリティをご利用のユーザは、「DSRU14-028」に更新し、以下のフィルタを適用して下さい。
- 1006256 – GNU Bash Remote Code Execution Vulnerability
「Shellshock」に関する詳細は、「セキュリティブログ」ならびに「Shellshock 特設ページ」もご参照下さい。
参考記事:
by Trend Micro
翻訳:品川 暁子(Core Technology Marketing, TrendLabs)