【Apache Struts2の脆弱性】大規模情報漏洩事例と有効的な対策について

この記事は約 4 分で読めます。


2017年3月以降、Apache Struts2の脆弱性を原因とした情報漏洩事件が頻発しています。今回は、代表的な事例をまとめるとともに、有効な対策法を説明していきます。

Apache Struts2の脆弱性が原因のインシデント事例

1. 日本郵便でのメールアドレス流出

2017年3月14日、日本郵便からApache Struts2の脆弱性が原因で、3万件近くのメールアドレスが流出した可能性が高いとの発表がなされました。

同社では、この事態を受けて即座にApache Struts2を脆弱性の問題が解消された最新版に更新するなどの対応を行っています。

この事件で問題になった脆弱性は「CVE-2017-5638/S2-045」の番号で示されるもので、リモートでWebサイトでコマンドを実行したり、ファイルを取得したりといったことが出来るものです。

<関連記事>
日本郵便へ不正アクセス、国際郵便マイページ登録者情報2万9千件流出

2. 日本貿易振興機構(JETRO)でのメールアドレス流出

2017年3月10日、日本貿易振興機構(JETRO)ではWebページの「相談利用者様登録ページ」が不正アクセスを受けて、2万6,708件のメールアドレスが流出した可能性があると発表しました。

同機構の広報課は、先ほど紹介した日本郵便の事例と同じく、Apache Struts2の脆弱性「CVE-2017-5638/S2-045」が原因の可能性が高いとコメントしています。

<関連記事>
ジェトロ不正アクセス被害、2万6千件のメールアドレス流出

3. 情報通信研究機構(NICT)からの個人情報流出

2017年5月2日に情報通信研究機構(NICT)では378件の情報流出が発生したと公表しました。これも上記の日本郵便やJETROと同様にApache Struts2の脆弱性「CVE-2017-5638/S2-045」が原因とのことです。

不正アクセス自体は2017年3月8日に行われており、公表時点ではデータの悪用などは見つかっていないとのことです。

4. Bリーグサイトからの個人情報流出

2017年4月25日にぴあ株式会社は運営を受託しているバスケットボールのBリーグのチケットサイトに攻撃があり、個人情報約15万件(クレジットカード情報が約3万2千件)が流出した可能性が高いと発表しました。

この件では、2017年3月17日ごろからTwitterでの複数会員の書き込みや、さらにはクレジットカード会社からの連絡などにより、クレジットカードの情報が不正に悪用され、カードが不正利用されている可能性が高いということが明らかとなっています。

現在までのところ4月21日時点でクレジットカードの不正利用は197件630万円となっており、不正利用された被害額や、クレジットカードの再発行にかかる金額などはぴあが補償を行うとのことです。

<関連記事>
ぴあ受託のBリーグサイトへ不正アクセス、個人情報15万件流出か

Apache Struts2の脆弱性への対策は?

このように、メールアドレスやクレジットカード情報などの流出だけでなく、それが悪用され、実際に金銭的な被害が出ている現状があります。では具体的に私たちが出来る対処法とはなんでしょうか。

今回のApache Struts2の脆弱性による問題の対応をよく見ると「最新版に更新することで対応」という内容が頻繁に見られることがわかります。また、一般的に言われるセキュリティ対策の実施にも不正なプログラムの実行を防ぐなどといった効果があります。

大切なことは、こういった対策をサーバーとクライアントの両方で確実に行うことです。まとめると対策は以下のようになります。

サーバー側での対策

  • OSの更新プログラム等は確実に適用する
  • ソフトウェアの更新プログラムを確実に適用する

クライアントPC側での対策

  • OSの更新プログラム等は確実に適用する
  • ソフトウェアの更新プログラムを確実に適用する
  • セキュリティ対策ソフトェアを導入し、定義ファイルを確実に更新する

両者ともに更新プログラムの適用は必須

これを見ると、特にクライアントPC側の対策は当たり前のことで誰でもが出来る内容です。しかし、これが十分出来ていないことで大規模な情報の流出や、カード情報の流出だけでなく、不正利用による金銭的被害などが起きてしまっています。

当たり前の対策をしっかりとすることが、有効なセキュリティ対策になるのです。

IT企業10年間、Linux・Windows系のサーバ・インフラ系構築・運用エンジニアとして経験を積み、現在は、とある企業で社内SEとして活動。 多種多様な業務に携わってきたため知識は幅広く、得意分野はLinuxをはじめとしたサーバー構築。社内セキュリティ担当者としての経験も長く、セキュリティソフトウェアや、ゲートウェイ対策にも精通している専門家として活躍中。 >プロフィール詳細

こちらのページもご覧ください。

0からサイバーセキュリティの現状がわかる
情報漏洩セキュリティ対策
ハンドブックプレゼント

img_pdf1.はじめに
2.近年の個人情報漏洩の状況
3. 内部要因による情報漏洩
3-1.被害実例
3−2.内部犯行による被害統計情報
3-3.内部犯行による情報漏洩が増え続ける3つの原因
3-4.内部犯行を減らすための対策
4. 外部要因による情報漏洩
4−1.近年の個人情報漏洩の状況
4−2.実際の近年のサイバー攻撃による企業の被害実例
4−3.サイバー攻撃の統計情報
4-4.サイバー攻撃がふえ続ける5つの原因
4-5.急増する日本の企業のWEBサイト改ざんへの対策
4-6.サイバー攻撃の種類を把握しよう
4-7.日本におけるサイバー攻撃に対する国の対応と今後
4-8.外部要因による情報漏洩のセキュリティ対策
無料でここまでわかります!
ぜひ下記より無料ダウンロードしてみてはいかがでしょうか?

メルマガ登録はコチラ