今度はBashがやられましたが、IoTの時代を目前にしてネットのセキュリティ担保はむつかしいですね

 山本一郎です。ようやく風邪が治ったと思ったら、今度は企画提案要請のラッシュに年末の出張の準備などでおおわらわです。困ったもんです。

 ところで、今年の4月頃、OpenSSLやDNSといったいわばインターネットの根幹に関わる技術的な部分に欠陥が見つかり、ネット界隈が震撼するという事態が発生したのはまだ記憶に新しい話であります。

OpenSSLとDNSの件が相当にヤバい雰囲気になっております(14/4/17)

 こうした問題は未だ完全に解決したわけではありませんが、諸関係者が粛々と対応を進めることで被害を最小限に食い止める努力をするという流れになっています。従って油断すればちょっとした小さな綻びから悪意のある攻撃者につけ込まれる可能性もあるため大いに警戒が必要であることは言うまでもありません。

 そんな状況の中、また新たにオープンソース系の技術において非常に致命的なバグが発覚しております。

UNIX系のソフト「bash」に重大バグ、システム乗っ取りも(ロイター 14/9/25)

基本ソフト(OS)Linux(リナックス)上で広く使われているソフトウエア「bash」に、新しくセキュリティー上のバグがあることが分かった。専門家らが24日警告した。4月に発覚したオンラインのデータ暗号化ソフトのバグ「ハートブリード」より大きな被害を引き起こす危険性があるという。

「bash」は、多くのUNIXベースのOSで動作するコマンドプロンプトを制御するためのソフト。ハッカーはbashのバグを悪用して、システムを完全に乗っ取ることができるという。

出典:ロイター

 同技術はPC以外にもネットワークに接続する様々な機器に活用されているため、その影響は計り知れないものがあります。すでに、ハードメーカーをはじめソフトメーカー、サービサー等、多方面で対応が行われていることとは思いますが、既に提供されている修正パッチが不完全という報もある上、全ての事業者が漏れなく対応してくれる保証はないというのが実情でもあります。

bashシェルの修正パッチは不完全、脆弱性突く攻撃の報告も(ITmedia 14/9/26)

セキュリティ企業のErrata Securityは、他のソフトウェアに与える影響の大きさから、bashの脆弱性はHeartbleedと同じくらい重大な問題だと指摘した。例えばサーバなどのシステムはパッチが当てられたとしても、Web対応のビデオカメラといった「モノのインターネット」や、ネットワーク上の古いデバイスなどは脆弱性が放置される公算が大きいと予想している。

 これからの時代は全てのモノがネットにつながり世の中が便利になるという楽観的な話をよく耳目にしますが、一方で、こうしたネットにつながった機器がセキュリティ的に欠陥だらけであれば世の中には不幸が増えるだけという可能性も否定できません。つい先日も、ネットワーク対応のプリンタにマルウェアを仕込むことが可能だったという報告が上がっておりました。

キヤノン製プリンタのファームウェアを改ざん、セキュリティ企業が披露(ITmedia 14/9/16)

 こうしてプリンタに仕込まれたマルウェアが企業内ネットワークを介して社内PCにある情報を盗み取るといった事態も十分に起こり得るでしょう。

 IoTという考え方は確かに様々な可能性を秘めており期待したいところも少なくないのですが、そのために生じるリスクの側面も十分に考慮しておくことが大事であります。理想論になってしまいますが、仮に今回のBashのような形でOS周りの基礎的な部分においてまた脆弱性が発覚した場合には、すぐその問題点を切り分けてセキュリティを確保できるような仕組みが予め用意されているところまで求められる時代が来るのかもしれません。

 このような問題は「あってはならない」とか「再発を絶対に防ぐ」などといった、文系世界の決まり文句とは無縁であり、そのつど優秀な人が最善の努力を果たしてうまく捌いた問題でも別の落とし穴が技術的に掘れるようになったら一からやり直しという途方も無い作業の繰り返しによって成り立つものなのでしょう。以前書きましたが、専門家でなくとも「この世にはそも絶対というものはないのだ」とか「検証可能なもの以外はいったん判断を留保する」といった科学に対するリテラシーがさらに重要になっていくのかもしれません。