ICHIRO BLOG引っ越しました

引っ越しの理由
無縫地帯

日経曰く「官公庁などサイバー攻撃の恐れ」という深刻な事態が発生中(追記あり)

2014.05.04

先日問題となったApache Strutsの脆弱性ですが、いまなお対応されないサイト多数で大変なことになっているようです。

山本一郎です。恐れが怖いです。

このところ、ネットサービスの根幹に係わるような技術に関してセキュリティ上の問題が発覚するという事例が増えています。

OpenSSLとDNSの件が相当にヤバい雰囲気になっております
OpenSSLの件がやばすぎてどう対応すればいいのかイマイチよく分かりません

そして残念なことに、先日またそうした案件が一つ浮上していました。今回はサーバー側で利用されるJavaアプリケーション用ソフトウェアフレームワークとして普及している「Apache Struts」という製品にセキュリティ上の問題が見つかったというものです。先に挙げたOpenSSLやDNSの件と同じく、今回もエンドユーザー側にはほとんど関係なく、ネットサービス提供者側が対策を講じる必要があります。

更新:Apache Struts2 の脆弱性対策について(CVE-2014-0094)(S2-020)(IPA 2014/4/24)

上記は、独立行政法人情報処理推進機構(IPA)から出される「重要なセキュリティ情報」において「緊急」案件として発表されたもので、「悪用される可能性が高いため、至急対策を実施」する必要があると指摘されています。

当初、この発表があった4月17日の時点では、Apache Strutsを最新バージョンへ更新することで問題を回避できるという話で一件落着していました。しかし、その後、最新バージョンでも脆弱性対策に漏れが存在するということが改めて発覚し、現在はその対策が無いままという状況です。しかも、さらに悪いことには、サポートが終了してしまっているApache Strutsの旧製品にも同じセキュリティ上の問題のあることが確認されています。当然ながらサポートの終了した旧製品では対策用の修正プログラムが公式に提供される可能性はほとんどないと考えられます。

一般論で言うならば、サポートが終了しているような古い製品ですから、いままだ使えるからといってそんなものを利用し続けるのは危険であると考えるのが正しいITリテラシーであるはずです。その辺りはWindows XPの件を通じても多くの人が学んだことと思われます。しかし、現実は全くそうではないことが、このApache Strutsの件で露呈してしまいました。

サイト構築ソフトに欠陥官公庁などサイバー攻撃の恐れ(日本経済新聞 2014/4/24)

ストラッツ1はサイト作成や運用に利用するソフトで無償公開されている。2000年代初頭から企業や団体が採用、独立行政法人の情報処理推進機構によると現在も多くの省庁や企業などで使われているという。(中略)官公庁などにストラッツ1を使ったシステムを多く納入するNTTデータがパッチを作る方針を打ち出している。だが、現状では「作成完了日は未定」という。日本経済新聞
ええと、なんと申しましょうか、官公庁関係のネットシステムが非常にまずい状況のようです。ウイルス対策会社等の情報によれば「すでに攻撃方法がネット上に公開されており、今後、被害がまん延する可能性もある」という話も出てきているようでして事態はかなり深刻と考えるべきでしょう。韓国政府のシステムがサポート終了したXPに依存しすぎていてセキュリティがお粗末だと揶揄するような話もありましたが、とても他人事ではありません。

XP終了で世の中が色々と盛り上がったようです

今後しばらくの間、Apache Strutsを使ったネットシステムはサイバー攻撃の脅威に晒されながら運用せざるを得ないという状況になりそうです。

ちなみに、Apache Strutsの評判ですが、エンジニアの方が技術的な視点から興味深いブログ記事を書かれています。

例えば、Strutsを避ける(WAF Tech Blog 2014/4/23)

残念ながらStrutsはセキュリティ的には相当にダメな部類に属します。しかも悪いことにStrutsはポピュラーであり、実際に攻撃が多く行われる(つまり狙われやすい)存在となっています。既存のStrutsを前提としたアプリケーションを他のフレームワークに乗り換えることは事実上無理だと思いますが、新規案件等では他のフレームワークを選ぶことをおすすめします。WAF Tech Blog
上記記事を書かれた方は「筆者はStrutsについてはまるっきりの初心者なので、このエントリには間違いが含まれている可能性があります」と断り書きもされていますが、一つの意見として読む価値のある内容かと思います。

それにしても、今年は本当にセキュリティ絡みで大きな問題が矢継ぎ早に起きていて、全く気が休まりませんね。私もゴールデンウィークなど関係なく働いておるわけですが。

(追記 4日14:50)

本件については、この記事に対するご指摘がありました。ありがとうございました。以下に追記いたします。

@kirik 先生、先週の土曜の段階でstruts2については根本解決されています。
http://www.nca.gr.jp/2014/struts_s20/
struts1についても開発元がパッチのリリースを示唆しています。
http://www.securityfocus.com/archive/1/531963tvbot
@kirik 今回発覚したstruts1の方は、官公庁側も対応はしています。パッチを当てるだけが対処法ではないので。ただ、strutsは1だろうが2だろうが、今後もじゃんじゃんヤバい脆弱性は見つかると思うので運用する限り今回のような件は何度でも起きます。tvbot
引き続きよろしくお願い申し上げます。