Linux、Mac OS X、AndroidなどUNIX系OSが影響を受けると言われている脆弱性「Shellshock」について、米Appleが「ほとんどのMac OS Xユーザーは安全」とする見解を出している。New York Timesなど主要紙が9月26日に報じた。同脆弱性は、4月に大きな話題となった脆弱性「Heartbleed」以上の脅威を持つという向きもあり、引き続き注意が必要だ。

Shellshockはオープンソースのコマンドラインシェル「Bash(Bourne Again Shell)」で発見された脆弱性(「CVE-2014-6271」)。環境変数の処理に問題があり、悪用されると遠隔からマシンを乗っ取られる可能性があるという。

AppleのMac OS XもUNIX系であり、Bashを含むことからShellshockの影響が懸念されている。Appleが主要メディアに出した見解はこの懸念を受けてのもので、Appleは「遠隔からの攻撃に対してユーザーを保護するようにデフォルトで設定されている」と説明、ほとんどのユーザーは安全だとしている。一方で、ユーザーが高度な設定を行っている場合は問題が発生する可能性があるとのことだ。Appleは現在、これら高度なUNIXユーザー向けにアップデートを配信する準備を進めているところだという。

Shellshockについては、GoogleのAndroid OSも影響を受けることが懸念されている。9月26日付けのNew York Timesによると、Android OSはBashの代わりに「Mksh」と呼ばれるプログラムを利用しており、脆弱性の影響を受けないとGoogleは説明しているとのことだ。だが同誌は、Androidはオープンソースであることから企業やユーザーはコードを加工してBashを統合して製品にしている可能性があるというセキュリティ専門家の意見を紹介している。

Bash開発チームは9月24日に警告を出し、パッチをリリースしている。この脆弱性はほぼすべてのバージョンに存在すること、一部のWebサーバも影響を受けるおそれがあることなどから、4月に発見されて大きな話題となったOpenSSLの脆弱性「Heartbleed」並み、あるいはそれ以上という意見もある。

米国立標準技術研究所(NIST)はShellshockの深刻度を10点中10点と評価しており、米国国土安全保障省下のコンピュータ緊急対応チーム(US-CERT)はLinuxやUNIX系OSのユーザーや管理者に対し、パッチを当てるよう促している。日本でも、情報処理推進機構(IPA)がShellshock脆弱性に対応したバージョンへのアップデートを推奨している。警察庁からは、Shellshockを標的としたアクセスを観測したという発表がなされている。

Bash の脆弱性を標的としたアクセスの検知件数(H26.9.24 00:00~9.25 16:00)資料:警察庁