脆弱性

Apache Struts2の脆弱性で広がるサイバー攻撃の被害

2017.03.30

脆弱性

Apache-Struts-2-vulnerability-and-countermeasures

2017年3月7日Apache Struts2に重大な脆弱性が確認されたと発表されました。
これによりApache Struts2を利用している企業は早急な対応が求められましたが、どんなに早急に対応しても攻撃者は一瞬の隙をついて攻撃を仕掛けてきます。
今回問題となったApache Struts2について簡単にまとめました。

目次

Apache Struts2とは

Apache Struts2は、Apacheソフトウェア財団のApache Strutsプロジェクトにて開発されているオープンソースのJava Webアプリケーションフレームワークです。
オープンソースなので無料で利用でき、利用者も多いのでコミュニティが充実しています。
何よりもOS依存しない柔軟さが人気です。
ユーザー同士が積極的に意見交換・相談窓口を設けていたりするので、保証がないけれど安心して利用できるツールとなっています。

Apache Struts2の脆弱性

今回の脆弱性ですが、独立行政法人・情報推進機構(IPA)も注意喚起を行い、早期対策するように呼び掛けていました。今回の影響範囲は下記のバージョンです。

・Apache Struts 2.3.5 ~ 2.3.31
・Apache Struts 2.5 ~ 2.5.10

 

上記に該当するものを利用している方は至急回避策もしくは対策済みのバージョンへのアップデートが必要です。利用者が多いツールのため、対策が遅れると被害が拡大するでしょう。

脆弱性を利用され、攻撃を受けてしまった企業

こちらの脆弱性はかなりクリティカルなもので、企業の早期対策が要となりました。
しかし、中には脆弱性を利用し不正アクセスされ情報を見られてしまったという企業もあります。

株式会社ジェイアイエヌはApache Struts2の脆弱性により、不正アクセス被害が発生しました。
現在は対策済みですが、75万件の個人情報が流出した可能性があると発表しました。

JINSは2013年にも情報流出しており、その時をきっかけにセキュリティ対策を実施していました。その対策を施したのにも関わらず、続けての被害が出てしまいました。
今回はクレジットカードの情報流出の可能性はないとのことですが、しっかりと対策をとった企業でも攻撃されてしまうのはかなり深刻な問題です。
対策されていない企業で、脆弱性対策を全くしていなかったら…と考えると楽観的に考えるのは非常に危険です。

WAFの導入も有効

こういったセキュリティ対策にはWAFの導入も非常に有効です。
クラウド型WAF「攻撃遮断くん」もApache Struts2の脆弱性に対応しております。
脆弱性にだけ対応するのではなく、システム全体のセキュリティ対策を行うことがとても重要です。
ぜひこの機会に検討してみてください。

まとめ

今回は Apache Struts2がきっかけとなった「脆弱性」について、ご紹介しました。どんな便利なITツールでも、脆弱性というリスクは拭えません。脆弱性が存在した場合は、サイバー攻撃を受ける前に対策することをおすすめします。