情報セキュリティリスク


突然発表される脆弱性

 多くのwebサーバにて導入されているapache strutsの脆弱性に関する注意喚起がありました。6月20日のJPCERTの発表によると、Apache Software Foundation が提供している Apache Struts 2 には脆弱性(S2-037/CVE-2016-4438) が存在します。REST Plugin*1 を使用している場合、遠隔の攻撃者が、脆弱性を悪用するように細工した HTTP リクエストを送信することApache Struts 2 を使用するアプリケーション (Struts アプリケーション) を実行しているサーバにおいて、任意のコードが実行される可能性があります。
本脆弱性の実証コードが公開されており、JPCERT/CC にて実証コードを用いて検証した結果、Struts アプリケーションを実行しているアプリケーションサーバの実行権限で任意のコードが実行されることを確認しました。
Apache Software Foundation から、本脆弱性に対する修正済みソフトウェアが提供されています。影響するバージョンのソフトウェアを使用している場合には、「V. 対策」を参考に、早期の対応を行うことを強く推奨します。
詳細は、Apache Struts 2 の脆弱性 (S2-037) に関する注意喚起をご覧下さい。

脆弱性を放置しているとどうなる

 攻撃者は、apacheなど多くのシステムで使用されているソフトへの攻撃機会を常に狙っている。ネットワーク上でセキュリティホールを探す大量のパケットを投入している。特に脆弱性が発表されたソフトに対しては攻撃対象がはっきりしているため、狙いを絞って多くのサーバーに対してセキュリティ対応の実施可否をチェックするだろう。
大企業のwebサーバ程狙われる傾向が高いが、小さな企業も例外ではない。サーバの保守管理を行っていない会社も多数いるので、この機会に脆弱性を抱える数千、数万のサーバを乗っ取ることもできる。データ消失やランサムウェアによる身代金要求などすぐに被害が発生するケースと、長期間に渡って重要情報が漏洩したり、大企業や政府のサーバを攻撃するように設定されたりと被害は多岐に及ぶ可能性がある。

脆弱性を放置するリスク

脆弱性情報を収集しすぐに対処できる体制が必要

 そもそも公表される脆弱性情報を収集できていなければ対応できない。システムの保守を委託していない会社も多いので自ら情報収集する仕組みが必要である。対応が1日遅れるだけでも甚大な被害が起きる可能性があるため、まずは情報収集が肝心である。
次に、収集した情報を元に迅速に対応する体制が求められる。情報を収集してもサーバの変更をできる人材や経営判断ができなければ、いつまで経っても脆弱性を抱えたままとなる。問題が起きる前に対処方法を検討しておく必要があるといえる

コンタクト情報

Topics

Top