Apache Struts2とは?

2020.04.09

Webセキュリティ

Apache Strutsとは。Apache Struts2の脆弱性とは。Apache Struts2の脆弱性への対策。

Apache Struts2とはApache Software Foundationから提供されている、ソフトウェアフレームワークです。主にWebアプリケーションを開発するためのフレームワークで、複数のライブラリが組み込まれており、Apache Struts2を利用してWebサイトの開発を行っている個人や法人も数多く存在しています。

目次

1.Apache Strutsとは?

Apache Strutsを使ってサイトを作りインターネット上に公開すると、常時どこからでもアクセスすることができるようになり、脆弱性が見つかった場合は、情報漏えいなどの脅威にさらされてしまいます。その危険を回避するための修正パッチが公開されているので、修正パッチを適用し常にソフトウェアを最新の状態にしておくことが大切です。

2.Apache Struts2の脆弱性とは?

2017年にApache Struts2の脆弱性が確認されています。
それは脆弱性(CVE-2017-9805)と呼ばれているもので、RESTプラグインを使っている場合に、XMLリクエストの処理の最中に「リモートで任意のコードが実行される」という脆弱性です。攻撃者が、Apache Struts2に対して悪意のあるリクエストを送信すると、Apache Struts2が設置されているサーバー内で実行され、サイトが攻撃を受けたり乗っ取られたりする可能性があります。
この脆弱性を悪用し、Webサイトへ攻撃を仕掛けるコードが公開されているため、Apache Struts 2の対策済みのバージョンへのアップデート、もしくはWAFの導入など何かしらの回避策が必要となります。

3.攻撃を受ける可能性があるApache Struts2とは

Apache Struts2のStruts 2.1.2 から Struts 2.3.33, Struts 2.5 から Struts 2.5.12が対象のバージョンとなるため、注意が必要です。
バージョンを確認する方法は、Apache Struts2を利用しているWebアプリケーションの /WEB-INF/lib ディレクトリから、struts2-core-2.x.x.x.jar ファイルの名称を確認します。2.x.x.xの部分がバージョン情報です。

4.Apache Struts2の脆弱性対策

Apache Struts2の脆弱性への対策としては最新版をダウンロードし、新しいものにアップデートすることです。基本的に最新バージョンへのアップデートは手動となります。脆弱性が見つかると、新しいバージョンが公開される可能性が高いので、何が最新バージョンなのかは定期的に確認しておくと良いでしょう。アップデートする際は、事前にテストを実施し、システムが問題なく動作するのを確認してからの実行をお勧めします。

<参考>IPA:https://www.ipa.go.jp/security/ciadr/vul/20170906-struts.html

5.Apache Struts2 まとめ

Apache Struts2の脆弱性に関してご紹介しました。
Apache Struts2においては上記の脆弱性だけでなく、ほかにも多くの脆弱性が見つかっています。これらについては最新のバージョンにアップデートすることで回避できます。脆弱性の情報はIPAのホームページにても公開されておりますので、定期的に確認するのがよいでしょう。いつ脆弱性を突かれて攻撃を受けるかわからないため、常にソフトウェアは最新の状態にしておくことをお勧めします。

6.おすすめのWebセキュリティ対策

Webセキュリティ対策としておススメなのが「WAF」の導入です。

WAFには色々なものがありますが、その中でもクラウド型WAFであれば、コストや手間も少なくセキュリティ対策することができます。

クラウド型のWAFは導入ハードルが極めて低いので、これからWebセキュリティ対策を行う企業様には有力な選択肢となります。WAFを選定する時には、サポート体制や導入実績なども重視して、自社に最適なものを選びましょう。

クラウド型WAF「攻撃遮断くん」は、最新の攻撃パターンにも自動的に対応していくため、セキュリティパッチをすぐに適用できない状況や、定期的に脆弱性診断が出来ない状況でも、セキュアな環境を保てます。

ぜひこの機会にWebセキュリティ対策を見直し、WAFの導入を検討してみてください。

「攻撃遮断くん」の詳細資料は、こちらからダウンロード頂けます。

 

(2018/4/25 執筆、2019/4/9修正・加筆)

  • 国内商用Webサイトが受けやすいサイバー攻撃とは?|サイバー攻撃の統計データから傾向を読み解く|今すぐ無料で資料をダウンロード
  • 御社のセキュリティ対策は本当に大丈夫ですか?約80%の企業が対策不足と言われています。Webセキュリティをいますぐ確認!3つのチェックポイント。今すぐ無料で資料ダウンロード