KEYWORD ENCYCLOPEDIA

キーワード事典 | セキュリティに関するキーワードを解説

Shellshock
読み方:シェルショック

この記事をシェア

2014年9月、Linux系シェルである「Bash」において発見された深刻な脆弱性に付けられた総称。2015年上半期にわたってWebサーバーが攻撃を受けた。「ハートブリード」や「プードル」と共に、2014年に発見された三大脆弱性の一つ。「バッシュ・バグ」とも言われる。


UNIXやLinuxで広く用いられているシェル「Bash」における脆弱性が2014年9月に立て続けに発見された。

  • CVE-2014-6271 2014年9月9日
  • CVE-2014-6277 2014年9月9日
  • CVE-2014-6278 2014年9月9日
  • CVE-2014-7169 2014年9月24日
  • CVE-2014-7186 204年9月25日
  • CVE-2014-7187 2014年9月25日

「シェル」とは、ユーザーとOSとの仲介を行うもので、ユーザーがコマンドを入力するとシェルを介してOSは実行する。また、OSはシェルを介してユーザーに実行結果を渡す。

「シェルショック」とは一般的には「戦争ノイローゼ」を意味する言葉だが、「シェル」の一つであるBashの深刻な脆弱性の度重なる発見による衝撃を「ショック」と見なして造語された。

「Bash」は古くから広く用いられているシェルの一つであり、LinuxのみならずMacOSにも標準装備されており、Windows上でも動作可能である。

そのため、Webサーバーにおける動的コンテンツにおいては、バックグラウンドで「Bash」が動作している場合が少なくない。

Webサーバーは、ユーザーの使用しているブラウザやホスト名、IPアドレス、閲覧していたWebページといった「環境変数」を「Bash」を介して受け取るのである。

攻撃者はこのとき、ユーザー側からWebサーバーに送られる「環境変数」に不正コマンドを加える。

Bashはこうした操作をチェックすることができず、Webサーバー側はそのままユーザーからの情報として読み込んでしまう。

その結果、Webサーバーにおいて、さまざまなコマンドの実行が可能となる。

例えば攻撃者は、リモートから脆弱性のあるシステム上で任意のコードを実行したり、サービス不能に追い込む恐れがある。さらには、サーバーの乗っ取りも試みられている。

1990年代ごろよりこうした脆弱性は存在したまま放置されてきたため、多くのバージョンで影響を受ける恐れがあり、大きな騒ぎとなった。

実際、警察庁の調べによれば、Bash脆弱性を狙った攻撃は、2014年12月に増加し、2015年2月にピークに達し、その後収束に向かっている。

なお、セキュリティパッチを当てていれば、こうした攻撃の被害に遭うことはない。

この記事をシェア

脆弱性攻撃のセキュリティ対策に

サイバーセキュリティ
情報局の最新情報を
チェック!