ここ最近、新たに発見される脆弱性に、覚えやすいニックネームが付けられる傾向があります。2014年のOpenSSLのHeartBeat拡張の脆弱性に付けられた「Heartbleed」がその始まりとも言われていますが、「GHOST(CVE-2015-0235)」もその一つです。ニックネームを付けることで、多くの人の注意をひき、その問題に対する警戒心を高めたり、セキュリティをより意識させたりすることが、目的の一つとも言われています。

GHOSTはLinux GNU Cライブラリ(glibc)に存在する脆弱性で、米国のセキュリティ企業であるQualysが2015年1月27日にその存在を公表しました。具体的にはCライブラリであるglibcに含まれている「gethostbyname()関数」や「gethostbyname2()関数」にあるバッファーオーバーフロー脆弱性のことです。外部から、その脆弱性を突いて不正なリクエストを送信すると、バッファーオーバーフローによってアプリケーションを強制終了させたり、任意のプログラムを実行させたりすることが可能となります。

被害は局所的にとどまるという見方も

Glibcが、広く使われていることに加え、問題となった関数はドメイン名をIPアドレスに変換するためのものであり、Webサービスやサーバー上で使われている可能性があります。

その一方で、この問題については2013年5月のglibc 2.18から対処されているほか、今回脆弱性が指摘された関数は、IPv6に対応していない古い関数でもあります。IPv6に対応している「getaddrinfo()関数」への移行が進んでおり、被害は一時的、局所的にとどまるのではという見方も出ています。また、脆弱性を悪用することが難しく、専門的な知識や技術が必要となることから、広範囲に悪用される可能性は少ないとの分析もあります。

ただし、油断は禁物です。日ごろから日常的にセキュリティ情報を取得し、自社のシステムが影響を受けないか、速やかに対応できる体制を整えておくことが、被害を避けるためには重要と言えるでしょう。