サイバーセキュリティーサービスの比較・資料請求サイト|中小企業向けのセキュリティ対策を考える「サイバーセキュリティ」に関する情報メディア。日本の中小企業の情報を守るため、最新のセミナー・人材育成・製品・中小企業向けのセキュリティ対策を考えるサイバーセキュリティ情報サイトです。

【Apache Struts2の脆弱性】大規模情報漏洩事例と有効的な対策について



2017年3月以降、Apache Struts2の脆弱性を原因とした情報漏洩事件が頻発しています。今回は、代表的な事例をまとめるとともに、有効な対策法を説明していきます。

Apache Struts2の脆弱性が原因のインシデント事例

1. 日本郵便でのメールアドレス流出

2017年3月14日、日本郵便からApache Struts2の脆弱性が原因で、3万件近くのメールアドレスが流出した可能性が高いとの発表がなされました。

同社では、この事態を受けて即座にApache Struts2を脆弱性の問題が解消された最新版に更新するなどの対応を行っています。

この事件で問題になった脆弱性は「CVE-2017-5638/S2-045」の番号で示されるもので、リモートでWebサイトでコマンドを実行したり、ファイルを取得したりといったことが出来るものです。

<関連記事>
日本郵便へ不正アクセス、国際郵便マイページ登録者情報2万9千件流出

2. 日本貿易振興機構(JETRO)でのメールアドレス流出

2017年3月10日、日本貿易振興機構(JETRO)ではWebページの「相談利用者様登録ページ」が不正アクセスを受けて、2万6,708件のメールアドレスが流出した可能性があると発表しました。

同機構の広報課は、先ほど紹介した日本郵便の事例と同じく、Apache Struts2の脆弱性「CVE-2017-5638/S2-045」が原因の可能性が高いとコメントしています。

<関連記事>
ジェトロ不正アクセス被害、2万6千件のメールアドレス流出

3. 情報通信研究機構(NICT)からの個人情報流出

2017年5月2日に情報通信研究機構(NICT)では378件の情報流出が発生したと公表しました。これも上記の日本郵便やJETROと同様にApache Struts2の脆弱性「CVE-2017-5638/S2-045」が原因とのことです。

不正アクセス自体は2017年3月8日に行われており、公表時点ではデータの悪用などは見つかっていないとのことです。

4. Bリーグサイトからの個人情報流出

2017年4月25日にぴあ株式会社は運営を受託しているバスケットボールのBリーグのチケットサイトに攻撃があり、個人情報約15万件(クレジットカード情報が約3万2千件)が流出した可能性が高いと発表しました。

この件では、2017年3月17日ごろからTwitterでの複数会員の書き込みや、さらにはクレジットカード会社からの連絡などにより、クレジットカードの情報が不正に悪用され、カードが不正利用されている可能性が高いということが明らかとなっています。

現在までのところ4月21日時点でクレジットカードの不正利用は197件630万円となっており、不正利用された被害額や、クレジットカードの再発行にかかる金額などはぴあが補償を行うとのことです。

<関連記事>
ぴあ受託のBリーグサイトへ不正アクセス、個人情報15万件流出か

Apache Struts2の脆弱性への対策は?

このように、メールアドレスやクレジットカード情報などの流出だけでなく、それが悪用され、実際に金銭的な被害が出ている現状があります。では具体的に私たちが出来る対処法とはなんでしょうか。

今回のApache Struts2の脆弱性による問題の対応をよく見ると「最新版に更新することで対応」という内容が頻繁に見られることがわかります。また、一般的に言われるセキュリティ対策の実施にも不正なプログラムの実行を防ぐなどといった効果があります。

大切なことは、こういった対策をサーバとクライアントの両方で確実に行うことです。まとめると対策は以下のようになります。

サーバ側での対策

  • OSの更新プログラム等は確実に適用する
  • ソフトウェアの更新プログラムを確実に適用する

クライアントPC側での対策

  • OSの更新プログラム等は確実に適用する
  • ソフトウェアの更新プログラムを確実に適用する
  • セキュリティ対策ソフトェアを導入し、定義ファイルを確実に更新する

WEBセキュリティ診断くん


URLhttps://cybersecurity-jp.com/shindan/

「WEBセキュリティ診断くん」は、Webアプリケーションに存在する脆弱性を診断するツールで、無料でWEBサイトに存在する脆弱性の数を把握することが可能です。
また、実際に脆弱性に対してどのような対策を行えば良いかは、月額10,000円からの少額で診断結果を確認することが可能です。

まずは無料で脆弱性の数を診断してみてはいかがでしょうか?

両者ともに更新プログラムの適用は必須

これを見ると、特にクライアントPC側の対策は当たり前のことで誰でもが出来る内容です。しかし、これが十分出来ていないことで大規模な情報の流出や、カード情報の流出だけでなく、不正利用による金銭的被害などが起きてしまっています。

当たり前の対策をしっかりとすることが、有効なセキュリティ対策になるのです。


書籍「情報漏洩対策のキホン」プレゼント


当サイトへの会員登録で、下記内容の書籍「情報漏洩対策のキホン」3000円相当PDFプレゼント
(実際にAmazonで売られている書籍のPDF版を無料プレゼント:中小企業向け大企業向け

下記は中小企業向けの目次になります。

  1. 1.はじめに

  2. 2.あなたの会社の情報が漏洩したら?

  3. 3.正しく恐れるべき脅威トップ5を事例付きで
    •  3-1.ランサムウェアによる被害
    •  3-2.標的型攻撃による機密情報の窃取
    •  3-3.テレワーク等のニューノーマルな働き方を狙った攻撃
    •  3-4.サプライチェーンの弱点を悪用した攻撃
    •  3-5.ビジネスメール詐欺による金銭被害
    •  3-6.内部不正による情報漏洩

  4. 4.情報漏洩事件・被害事例一覧

  5. 5.高度化するサイバー犯罪
    •  5-1.ランサムウェア✕標的型攻撃のあわせ技
    •  5-2.大人数で・じっくりと・大規模に攻める
    •  5-3.境界の曖昧化 内と外の概念が崩壊

  6. 6.中小企業がITセキュリティ対策としてできること
    •  6-1.経営層必読!まず行うべき組織的対策
    •  6-2.構想を具体化する技術的対策
    •  6-3.人的対策およびノウハウ・知的対策

  7. 7.サイバーセキュリティ知っ得用語集

無料でここまでわかります!
ぜひ下記より会員登録をして無料ダウンロードしてみてはいかがでしょうか?

無料会員登録はこちら

SNSでもご購読できます。