2017年3月7日Apache Struts2に重大な脆弱性が確認されたと発表されました。
これによりApache Struts2を利用している企業は早急な対応が求められましたが、どんなに早急に対応しても攻撃者は一瞬の隙をついて攻撃を仕掛けてきます。
今回問題となったApache Struts2について簡単にまとめました。
Apache Struts2は、Apacheソフトウェア財団のApache Strutsプロジェクトにて開発されているオープンソースのJava Webアプリケーションフレームワークです。
オープンソースなので無料で利用でき、利用者も多いのでコミュニティが充実しています。
何よりもOS依存しない柔軟さが人気です。
ユーザー同士が積極的に意見交換・相談窓口を設けていたりするので、保証がないけれど安心して利用できるツールとなっています。
今回の脆弱性ですが、独立行政法人・情報推進機構(IPA)も注意喚起を行い、早期対策するように呼び掛けていました。今回の影響範囲は下記のバージョンです。
・Apache Struts 2.3.5 ~ 2.3.31
・Apache Struts 2.5 ~ 2.5.10
上記に該当するものを利用している方は至急回避策もしくは対策済みのバージョンへのアップデートが必要です。利用者が多いツールのため、対策が遅れると被害が拡大するでしょう。
こちらの脆弱性はかなりクリティカルなもので、企業の早期対策が要となりました。
しかし、中には脆弱性を利用し不正アクセスされ情報を見られてしまったという企業もあります。
株式会社ジェイアイエヌはApache Struts2の脆弱性により、不正アクセス被害が発生しました。
現在は対策済みですが、75万件の個人情報が流出した可能性があると発表しました。
JINSは2013年にも情報流出しており、その時をきっかけにセキュリティ対策を実施していました。その対策を施したのにも関わらず、続けての被害が出てしまいました。
今回はクレジットカードの情報流出の可能性はないとのことですが、しっかりと対策をとった企業でも攻撃されてしまうのはかなり深刻な問題です。
対策されていない企業で、脆弱性対策を全くしていなかったら…と考えると楽観的に考えるのは非常に危険です。
こういったセキュリティ対策にはWAFの導入も非常に有効です。
クラウド型WAF「攻撃遮断くん」もApache Struts2の脆弱性に対応しております。
脆弱性にだけ対応するのではなく、システム全体のセキュリティ対策を行うことがとても重要です。
ぜひこの機会に検討してみてください。
今回は Apache Struts2がきっかけとなった「脆弱性」について、ご紹介しました。どんな便利なITツールでも、脆弱性というリスクは拭えません。脆弱性が存在した場合は、サイバー攻撃を受ける前に対策することをおすすめします。
***
記事内でご紹介した、安価で高セキュリティなサービスを提供するクラウド型WAF「攻撃遮断くん」の詳細資料は、こちらからダウンロード頂けます。
https://www.shadan-kun.com/
この記事と一緒に読まれています
2019.09.10
セキュリティ対策
2019.01.11
用語集
HTTPヘッダインジェクションとOSコマンドインジェクションの違いと対策方法を徹底解説!
2020.01.06
セキュリティ対策
2020.03.07
用語集
Webアプリケーションのセキュリティ対策を行うべき5つの理由
2020.03.29
セキュリティ対策