Lifehacker様、
Shellshockは「インターネットを破壊する」可能性のある最新の脆弱性だそうです。前回そう言われたのはHeartbleedでした。これらのバグや脆弱性について、本当に心配する必要があるのでしょうか？それとも、テクノロジー企業が注意すべきことなのでしょうか？誰かが実際にこれらを悪用して私を攻撃するのでしょうか？

敬具、
セキュリティ懐疑論者

セキュリティに懐疑的な皆様へ。
毎日のように新たなハッキング事件が発生したり、膨大なデータが流出したり、テクノロジー業界をひっくり返しかねない新たなバグが発見されたりしています。こうしたニュースを聞くのに少しうんざりしてしまうのも無理はありません。特に、次々と問題が起こり、状況が改善しないようであればなおさらです。結局のところ、これらの問題は深刻だと聞かされてはいますが、多くの場合、私たちには何もできないのです。あなたが疑念を抱くのは当然ですが、その疑念にとらわれて、データを安全に保つための正しい行動を怠ってはいけません。

Shellshock と Heartbleed (およびその他の類似の脆弱性) に関しては、コンピューター セキュリティの専門家数名と話し合い、事実と虚構を区別し、実際に何を心配すべきか、何を心配する必要がないかを理解できるようにしました。

これらの脆弱性は本当にそれほど大きな問題なのでしょうか?

HeartbleedやShellshockが「インターネットを破壊する可能性がある」という見出しを見ると、まるで天が落ちてくるような気がするのも無理はありません。これらが深刻な問題であることは誰もが認めるところですが、エンドユーザーが自らを守るために取れる対策は非常に限られています。

Heartbleedの場合、お気に入りのサイトがパッチを当てるまで待ってからパスワードを変更するのが最善のアドバイスでした。Shellshockの場合は、MacまたはLinuxコンピュータにパッチを適用し、他の全員、特にシステム管理者とエンジニアが同じことをしてくれることを期待するべきです。さらに、研究者たちは両方の脆弱性の影響を実際に確認していると述べていますが、人々がコンピュータを紛失したり、壊れたコンピュータに関する電話がテクニカルサポートのホットラインに殺到したりするような状況ではありません。2000年代初頭、ウイルスが夕方のニュースを賑わせていた頃とは状況が異なります。

では、これらの脆弱性は忘れてしまえばいいのでしょうか？必ずしもそうではありません。これらの脆弱性は深刻であり、私たちが話を聞いた専門家全員がその点を指摘していました。しかし、彼らはまた、悲観的な見出しは人々に逆効果をもたらすことが多いと説明しました。インターネットセキュリティに関するニュースに注意を払うよう促すのではなく、むしろニュースへの嫌悪感を募らせるのです。トレンドマイクロのクラウドおよび新興技術担当バイスプレジデント、マーク・ナニホーベン氏は、その両面について次のように説明しています。

シェルショックは極めて深刻です。現在、世間の注目を集めているこの現象は、100%の注目を集めるに値します。この問題の正確な範囲を把握することは不可能ですが、ニコール・パールロスは

ニューヨーク・タイムズに寄稿

インターネットに接続されているマシンの約70%が影響を受ける可能性があると推測しています。それは妥当な数字だと思います。

これほど深刻なバグがあるにもかかわらず、一部の人々は依然としてその影響について大げさな主張をしています。これは誰の役にも立ちません。この極めて現実的な問題をセンセーショナルに扱うことは、議論を不必要に二極化させ、私たちをより危険にさらすことになります。複雑な問題を抱えている場合、詳細をより多くの人々に伝えることは困難です。残念ながら、人々は繊細な主張よりも、大げさな主張に反応する傾向があります。これでインターネットが終焉を迎えるわけではありませんが、これは非常に深刻な問題であり、早急に対処する必要があります。

作家、コンサルタント、そしてコンピュータセキュリティの専門家であるフレデリック・レーン氏も同意見です。彼は、エンドユーザーが対処できないような恐ろしい見出しは、一般的にはあまり役に立たないが、適切な人に向けられた場合は、適切な行動を促す可能性があると説明しています。

システム管理者や経営幹部をターゲットにすれば、恐怖心を煽る見出しは効果的だと思います。そうすれば、彼らは時間とリソースを投入して、これらの脆弱性が消費者に及ばないようにするでしょう。しかし、一般のPCユーザーを怖がらせるべきではありません。なぜなら、これらの問題を解決できる人はほとんどいないからです（そもそも、できるはずがないのです）。消費者にとって、見出しは現代社会を困難にしている実存的な不安を増幅させるだけです。ある時点を過ぎると、コンピュータに関する恐怖の見出しは単なる雑音になってしまいます。

つまり、こうした脆弱性について耳にしたら、特にIT関連の仕事に就いている方、あるいは実際に対処できる立場にある方は、注意深く注意を払う価値があります。そして、ご自身のコンピュータにパッチを適用できるのであれば、そうすべきです。ただし、誇張された表現は鵜呑みにしないでください。インターネットは堅牢で適応性に優れているため、たった一つのセキュリティ問題や脆弱性がインターネット全体を崩壊させる可能性は低いでしょう。

通常のコンピュータユーザーはこれらの脆弱性を心配する必要がありますか?

ターゲットやホームデポなどの大手小売業者が顧客の金融情報を紛失した場合、通常は無料の信用情報監視サービスが提供され、不正取引や個人情報盗難の兆候に注意するよう指示されます。ShellshockとHeartbleedの場合、エンドユーザーにできることは、最善の結果を祈り、パッチがリリースされたら適用することだけです。心配するのは時間とエネルギーの無駄のように思えるかもしれません。しかし、少なくとも最新情報に耳を傾けるべきだとレーン氏は言います。

今日のシステム管理者の問題は、明日の家庭ユーザーの問題です。

これは、モノのインターネット（IoT）への移行に伴い、着実に蓄積されつつあるリスクを浮き彫りにするものだと考えます。考えてみてください。もし誰かが、レポ業者が使用するリモートシャットダウン装置（この件については、

数日前のニューヨークタイムズの記事

）？全国で何千台もの車が突然停止してしまう可能性があります。Bashの脆弱性で本当に気がかりなのは、Bashを使用しているシステムの数が正確に把握できていないこと、そして多くのシステムがソフトウェア/ファームウェアのアップデートのための仕組みを備えていないことです。

ShellshockとHeartbleedに関するニュースは、敵対的な攻撃による潜在的な損失を最小限に抑えるために消費者が常に取るべき対策を改めて認識させる絶好の機会です。1) マルウェア対策ソフトウェアをインストールして更新する。2) 重要なファイルをバックアップする。3) 重要なファイルのバックアップを確実に二重チェックする。4) 財務情報と信用情報を監視する。テクノロジーは私たち全員に計り知れない恩恵をもたらしますが、派手なデバイスには一定の責任が伴います。ハインラインの言葉にあるように、「ただ飯はない」のです。

コンピュータフォレンジック調査官、ソフトウェア設計者、コンサルタントのピーター・テオバルド氏は、一般ユーザーが懸念すべきはデスクトップコンピュータだけではない、と説明した。ファイアウォール、ルーター、NASデバイス、さらにはスマートサーモスタットなどの家庭用機器に搭載されたLinuxベースの組み込みシステムも、Shellshockの潜在的な標的となる（ファイアウォールを介さずにインターネットに直接接続している場合。それでもファイアウォール自体が脆弱である可能性がある）。また、SSLを実行するすべてのサーバーはHeartbleedの標的となる。

Shellshock が公開されてから 1 時間以内に、新しい脆弱性を悪用してインターネットをスキャンし、コンピューターを侵害する新しいマルウェアの存在が報告されました。

Bashは、Linuxウェブサーバー、Macコンピューター、NASストレージデバイス、ルーターやアクセスポイント、ファイアウォールなど、多くのデバイスで使用されています。AppleとLinuxディストリビューションメーカーは、これらの脆弱性を修正するパッチを迅速にリリースしました。これにより、ウェブサーバーとOS Xコンピューターは問題なく動作するでしょう。しかし、私がさらに懸念しているのは、ルーター、ファイアウォール、アクセスポイントに適切なタイミングでパッチが適用されないことです。ルーターにパッチを適用する方法を知っている人はどれほどいるでしょうか？ルーターベンダーがこの問題にどのように対応するかについては、今後の動向に注目してください。これは、メーカーによる自動アップデートなどを通じて、消費者向けデバイスのメンテナンス方法に業界全体の変化をもたらすきっかけとなるかもしれません。

これらの問題は深刻であり、日常生活を送る人々や私たちが利用するテクノロジーに深刻な影響を及ぼす可能性があることは間違いありません。しかし、まだ不安に駆られる必要はありません。結局のところ、安全なテクノロジーはごくわずかであり、インターネットに接続されているテクノロジーはさらに少ないのです。今後数ヶ月、数年のうちに、ShellshockやHeartbleedといった脆弱性がさらに増えても驚かないでください。しかし、常に警戒を怠らず、適切なコンピューティング衛生を実践することは決して無駄ではありません。ルーターのファームウェアのアップデート方法を学ぶのは、重大な脆弱性が発覚してからでは意味がありません。こうしたスキルは、事前に身につけておくべき有用なスキルです。

疑い深くあれ、だが安全を脅かすものではない

当社の専門家は皆、この種の脆弱性は広範囲に及ぶ可能性があり、甚大な影響を及ぼす可能性があるという点で新しいものであるとすぐに指摘しました。しかし、ユーザーに指示されたときにシステムを更新する以外に、それほど多くの操作を要求しないのは異例です。過去とは対照的に、OEMやスマートデバイスメーカーは、販売するデバイスがインターネットに接続する場合、パッチを提供し、製品に更新メカニズムを組み込み、システムのセキュリティを維持する責任を負っています。

テクノロジーが進化し、よりネットワーク化が進むにつれて、スマートサーモスタットやスマートウォッチの基盤となるコアテクノロジーは、当初の開発者が想定していなかった形で応用されるようになるでしょう。その結果、脆弱性がさらに露呈し、悪用されるケースも増えるでしょう。レーン氏は次のように説明しています。

より理論的なレベルで言えば、こうした話は、私たちが作り上げたシステムは非常に複雑で、完全に安全であるとは決して確信できないという、私の確信を改めて強めていると言えるでしょう。言い換えれば、私たちが作り上げるシステムの複雑さが「現実世界」の複雑さに近づくほど、私たちは運命の人質になる可能性が高くなるということです。コンピューターとインターネットを発明して以来、私たちはコントロールできるという幻想にしがみついていますが、それは単なる束の間のものです。ソフトウェアの脆弱性を利用して悪意のある人々が危害を加えるのを防ぐべきではないと言っているわけではありません（癌との闘いのように）。ただ、私たちが実際にどれほど完璧な安全を実現できるのかについて、現実的に考えるべきだと言っているのです。

結局のところ、これらの問題は深刻であり、注意を払う価値があることは間違いありません。しかし、最新のセキュリティ脅威について、注目を集めたり不安を煽ったりするために作られた見出しだけを読むのではなく、必ず自分で調査を行ってください（もちろん、Lifehackerは常に冷静さを保つよう努めています）。毎週のように新たなハッキングが発生し、クレジットカード番号の盗難が増え、パスワードの再設定が必要になるケースが増えているようでは、疲れを感じてしまうかもしれません。しかし、状況はすぐに変わるものではありません。これらのハッキングには、万全の対策を講じ、データが保護されていることを確認するために、少なくとも十分な注意を払う必要があります。

ライフハッカーより

Mark Nunnikhoven 氏は、トレンドマイクロのクラウドおよび新興テクノロジー担当副社長です。

フレデリック・レーン氏は、作家、弁護士、教育コンサルタント、専門家証人、そして講師として活躍し、「ザ・デイリー・ショー」、CNN、NBC、ABC、CBS、BBC、MSNBCなどに出演しています。著書は7冊あり、最新作は「Cyber​​traps for the Young」です。著書はすべてAmazonまたはウェブサイトでご購入いただけます。Twitter（@fsl3）またはComputer Forensics Digestでフォローできます。

ピーター・セオボルドは、コンピュータフォレンジックの鑑定人、専門家証人、ソフトウェア設計者、コンサルタント、講師です。彼は、アメリカ法曹協会の訴訟部門コンピュータフォレンジック小委員会の共同委員長を務めています。彼の情報はTCForensics.comでご覧いただけます。

3 名の皆様にはこの記事のために専門知識を提供していただきました。感謝申し上げます。

Ask Lifehackerへのご質問やご提案は、 [email protected]までお送りください。

写真はMaksim Kabakou (Shutterstock)、Chris Harrison、Yi Chenによるものです。