2014年9月、Linux系シェルである「Bash」において発見された深刻な脆弱性に付けられた総称。2015年上半期にわたってWebサーバーが攻撃を受けた。「ハートブリード」や「プードル」と共に、2014年に発見された三大脆弱性の一つ。「バッシュ・バグ」とも言われる。
UNIXやLinuxで広く用いられているシェル「Bash」における脆弱性が2014年9月に立て続けに発見された。
- CVE-2014-6271 2014年9月9日
- CVE-2014-6277 2014年9月9日
- CVE-2014-6278 2014年9月9日
- CVE-2014-7169 2014年9月24日
- CVE-2014-7186 204年9月25日
- CVE-2014-7187 2014年9月25日
「シェル」とは、ユーザーとOSとの仲介を行うもので、ユーザーがコマンドを入力するとシェルを介してOSは実行する。また、OSはシェルを介してユーザーに実行結果を渡す。
「シェルショック」とは一般的には「戦争ノイローゼ」を意味する言葉だが、「シェル」の一つであるBashの深刻な脆弱性の度重なる発見による衝撃を「ショック」と見なして造語された。
「Bash」は古くから広く用いられているシェルの一つであり、LinuxのみならずMacOSにも標準装備されており、Windows上でも動作可能である。
そのため、Webサーバーにおける動的コンテンツにおいては、バックグラウンドで「Bash」が動作している場合が少なくない。
Webサーバーは、ユーザーの使用しているブラウザやホスト名、IPアドレス、閲覧していたWebページといった「環境変数」を「Bash」を介して受け取るのである。
攻撃者はこのとき、ユーザー側からWebサーバーに送られる「環境変数」に不正コマンドを加える。
Bashはこうした操作をチェックすることができず、Webサーバー側はそのままユーザーからの情報として読み込んでしまう。
その結果、Webサーバーにおいて、さまざまなコマンドの実行が可能となる。
例えば攻撃者は、リモートから脆弱性のあるシステム上で任意のコードを実行したり、サービス不能に追い込む恐れがある。さらには、サーバーの乗っ取りも試みられている。
1990年代ごろよりこうした脆弱性は存在したまま放置されてきたため、多くのバージョンで影響を受ける恐れがあり、大きな騒ぎとなった。
実際、警察庁の調べによれば、Bash脆弱性を狙った攻撃は、2014年12月に増加し、2015年2月にピークに達し、その後収束に向かっている。
なお、セキュリティパッチを当てていれば、こうした攻撃の被害に遭うことはない。