自由研究
[セキュリティ講座]

毎度おなじみ?!Apache Struts2の脆弱性

自由研究
いきを
セキュリティ

ども、時短で働くWebディレクターのいきをです。
Apache Struts2の脆弱性攻撃によるクレカ情報流出のニュースが週あけてから話題になっていましたね。
Apache Struts2の脆弱性を突かれて不正アクセス、都税支払いサイトなどからクレジットカード情報72万件が流出した可能性

こういうインシデント系のニュースを見るたびに担当の人ほんと血の気が引いただろうな。。。と現場を想像してブルブルしています。
先日のWordPressの脆弱性よりも被害の内容が深刻そうなので、当社のセキュリティマニアの平賀に話をきいてみました。

平賀

エクスクラウドの担当者。
夜な夜なセキュリティサイトで情報収集をしているセキュリティマニア。
サイバー攻撃の情報をいち早く教えてくれる親切なひと。
最近イベントでの登壇も増えてきている。

セキュリティ界隈では毎度おなじみのApache Struts2

いきを:Apache Struts2はJava用のWebアプリケーションフレームワーク。ライブラリが豊富で開発効率や公開後の運用・メンテナンスがしやすいため、多くのサイト構築に利用されているらしいのですが、セキュリティ界隈ではよく話題に上がってくると小耳に挟みました。。。

平賀
平賀:Apache StrutsとOpenSSLという単語がニュースサイトに上がっているのをみると、またかーと思われた人も多いかと思います。そのくらいよく脆弱性が問題になるソフトウェアです。

 

いきを:おっと、そうなんですね。今回起きた脆弱性に対する攻撃って、IPAの記事に「遠隔の第三者によって、サーバ上で任意のコードを実行される可能性」って記載されていたんですが、具体的にどんなことができてしまうんですか?
Apache Struts2 の脆弱性対策について(CVE-2017-5638)(S2-045)

平賀
平賀:今回の脆弱性を利用すると、外部からシステムのデータや個人情報にアクセスできてしまいます。攻撃者は侵入に成功すると、次回からの侵入は簡単にできるようバックドアを設置することもあります。いわゆる「コンピュータが乗っ取られた状態」になります。

バックドアのイメージ
▲コンピュータが乗っ取られた状態

ラックさんの記事にある「JSOCインシデント通知件数の推移」をみると、今回は脆弱性のリリースがでたあと、インシデントの報告が上がるまでタイムラグがあります。
Apache Struts 2における脆弱性 (S2-045、CVE-2017-5638)の被害拡大について

攻撃に時間がかかる場合は2パターンあって、分業しているケースと攻撃作業に時間がかかっているケースです。
分業の場合は自動化ツールを使っていたり、単純作業による攻撃であることが多いので、一度防いでしまえば、ターゲットに認識し続けられる可能性は低く、やり過ごしやすいものです。分業であるがゆえに工程と工程の間に空白の時間があり、結果時間がかかっているように見えます。
それに対して、攻撃に時間がかかっているパターンは、銀行強盗のように価値の大きな情報を盗もうとしている場合が多いため、被害も深刻になりやすいです。
実際にクレジットカード情報72万件の流出の可能性と深刻な被害が出ています。

いきを:前から気になっていたんですが、よくニュースで「最大○○件の流出の可能性」って表現されるのってなんでなんですか?

平賀
平賀:実世界で泥棒がものを盗んだ場合、現物がなくなるので盗まれたことが断定できますが、サイバー攻撃による情報略取だった場合、対象データの何%をコピーしていったか、攻撃者は丁寧に記録を残してくれません。その為、「最大◯◯件の流出の可能性」という表現になります。
むしろこういった攻撃に気づけるのは、きちんとセキュリティ対策できており、不正な通信や、アクセスログの保全を行っている状態です。情報を盗まれていても気付かないケースも多いのではないかと推測されます。

 

対策はどうすればいいのか?

いきを:泥棒に入られたの気付けないのはなかなか気持ち悪いですね。。。その後も入られ続けて継続的に情報を取られてしまう可能性もありますもんね。。。

平賀
平賀:そうですね。Apache Strutsはセキュリティ対策やる気ないんじゃないか、って言う方もいらっしゃいました(笑)
使い勝手はいいけど、セキュリティ的には危ないソフトですね。
新規構築の場合にはApache Strutsのような脆弱性の多いソフトは選択肢にいれないのもセキュリティ対策としては有効です。
すでに利用されている場合は、脆弱性アップデートをきちんと運用することが重要です。またWAFをうまく活用しシステムへの影響を最小限にすることも効果があります。
クラウド型のWAFであればシステムには直接影響を与えないので、毎回検証に時間をとられる心配もありませんし、新しい脆弱性に自動的に対応してくれます。攻撃を受けてしまったけれどもアップデートがどうしてもできない場合の緊急回避策として利用いただくことも可能です。
エクスクラウドのクラウド型WAFの仕組み

 

いきを:おお、前回も登場したWAF!すごい便利ですねー。

平賀
平賀:先日エクスクラウドのクラウドVPSがプランをリニューアルしまして、オプションでクラウド型WAF(技術提供 攻撃遮断くん)が1,500円で利用いただけるようになりました。脆弱性アップデートの運用に不安のある方はお手頃な価格で導入できるのでぜひご活用ください。

この記事を書いた人

いきを

時短で働くWebディレクター。 好きな食べ物は米。

連載『平賀真琴のセキュリティ講座』の記事

この記事のタグ

オススメの記事

この記事を読んだ人にオススメのサービス

エクスクラウドのクラウドVPS

メモリ2GBで950円!最大72GBまで拡張!SSD搭載でメモリ量も多いため、WordPressなどのCMS利用にオススメです。負荷分散や冗長化についてのインフラ設計コンサルティング&サーバー構築代行を技術スタッフが承ります。オプションでクラウド型WAFが1,500円/月で提供、セキュリティ対策も対応に導入可能です。

ページトップへ