2017年3月以降、Apache Struts2の脆弱性を原因とした情報漏洩事件が頻発しています。今回は、代表的な事例をまとめるとともに、有効な対策法を説明していきます。
Apache Struts2の脆弱性が原因のインシデント事例
1. 日本郵便でのメールアドレス流出
2017年3月14日、日本郵便からApache Struts2の脆弱性が原因で、3万件近くのメールアドレスが流出した可能性が高いとの発表がなされました。
同社では、この事態を受けて即座にApache Struts2を脆弱性の問題が解消された最新版に更新するなどの対応を行っています。
この事件で問題になった脆弱性は「CVE-2017-5638/S2-045」の番号で示されるもので、リモートでWebサイトでコマンドを実行したり、ファイルを取得したりといったことが出来るものです。
<関連記事>
日本郵便へ不正アクセス、国際郵便マイページ登録者情報2万9千件流出
2. 日本貿易振興機構(JETRO)でのメールアドレス流出
2017年3月10日、日本貿易振興機構(JETRO)ではWebページの「相談利用者様登録ページ」が不正アクセスを受けて、2万6,708件のメールアドレスが流出した可能性があると発表しました。
同機構の広報課は、先ほど紹介した日本郵便の事例と同じく、Apache Struts2の脆弱性「CVE-2017-5638/S2-045」が原因の可能性が高いとコメントしています。
<関連記事>
ジェトロ不正アクセス被害、2万6千件のメールアドレス流出
3. 情報通信研究機構(NICT)からの個人情報流出
2017年5月2日に情報通信研究機構(NICT)では378件の情報流出が発生したと公表しました。これも上記の日本郵便やJETROと同様にApache Struts2の脆弱性「CVE-2017-5638/S2-045」が原因とのことです。
不正アクセス自体は2017年3月8日に行われており、公表時点ではデータの悪用などは見つかっていないとのことです。
4. Bリーグサイトからの個人情報流出
2017年4月25日にぴあ株式会社は運営を受託しているバスケットボールのBリーグのチケットサイトに攻撃があり、個人情報約15万件(クレジットカード情報が約3万2千件)が流出した可能性が高いと発表しました。
この件では、2017年3月17日ごろからTwitterでの複数会員の書き込みや、さらにはクレジットカード会社からの連絡などにより、クレジットカードの情報が不正に悪用され、カードが不正利用されている可能性が高いということが明らかとなっています。
現在までのところ4月21日時点でクレジットカードの不正利用は197件630万円となっており、不正利用された被害額や、クレジットカードの再発行にかかる金額などはぴあが補償を行うとのことです。
<関連記事>
ぴあ受託のBリーグサイトへ不正アクセス、個人情報15万件流出か
Apache Struts2の脆弱性への対策は?
このように、メールアドレスやクレジットカード情報などの流出だけでなく、それが悪用され、実際に金銭的な被害が出ている現状があります。では具体的に私たちが出来る対処法とはなんでしょうか。
今回のApache Struts2の脆弱性による問題の対応をよく見ると「最新版に更新することで対応」という内容が頻繁に見られることがわかります。また、一般的に言われるセキュリティ対策の実施にも不正なプログラムの実行を防ぐなどといった効果があります。
大切なことは、こういった対策をサーバとクライアントの両方で確実に行うことです。まとめると対策は以下のようになります。
サーバ側での対策
- OSの更新プログラム等は確実に適用する
- ソフトウェアの更新プログラムを確実に適用する
クライアントPC側での対策
- OSの更新プログラム等は確実に適用する
- ソフトウェアの更新プログラムを確実に適用する
- セキュリティ対策ソフトェアを導入し、定義ファイルを確実に更新する
両者ともに更新プログラムの適用は必須
これを見ると、特にクライアントPC側の対策は当たり前のことで誰でもが出来る内容です。しかし、これが十分出来ていないことで大規模な情報の流出や、カード情報の流出だけでなく、不正利用による金銭的被害などが起きてしまっています。
当たり前の対策をしっかりとすることが、有効なセキュリティ対策になるのです。