【Apache Struts2の脆弱性】大規模情報漏洩事例と有効的な対策について

[更新]
【Apache Struts2の脆弱性】大規模情報漏洩事例と有効的な対策について



2017年3月以降、Apache Struts2の脆弱性を原因とした情報漏洩事件が頻発しています。今回は、代表的な事例をまとめるとともに、有効な対策法を説明していきます。

Apache Struts2の脆弱性が原因のインシデント事例

1. 日本郵便でのメールアドレス流出

2017年3月14日、日本郵便からApache Struts2の脆弱性が原因で、3万件近くのメールアドレスが流出した可能性が高いとの発表がなされました。

同社では、この事態を受けて即座にApache Struts2を脆弱性の問題が解消された最新版に更新するなどの対応を行っています。

この事件で問題になった脆弱性は「CVE-2017-5638/S2-045」の番号で示されるもので、リモートでWebサイトでコマンドを実行したり、ファイルを取得したりといったことが出来るものです。

<関連記事>
日本郵便へ不正アクセス、国際郵便マイページ登録者情報2万9千件流出

2. 日本貿易振興機構(JETRO)でのメールアドレス流出

2017年3月10日、日本貿易振興機構(JETRO)ではWebページの「相談利用者様登録ページ」が不正アクセスを受けて、2万6,708件のメールアドレスが流出した可能性があると発表しました。

同機構の広報課は、先ほど紹介した日本郵便の事例と同じく、Apache Struts2の脆弱性「CVE-2017-5638/S2-045」が原因の可能性が高いとコメントしています。

<関連記事>
ジェトロ不正アクセス被害、2万6千件のメールアドレス流出

3. 情報通信研究機構(NICT)からの個人情報流出

2017年5月2日に情報通信研究機構(NICT)では378件の情報流出が発生したと公表しました。これも上記の日本郵便やJETROと同様にApache Struts2の脆弱性「CVE-2017-5638/S2-045」が原因とのことです。

不正アクセス自体は2017年3月8日に行われており、公表時点ではデータの悪用などは見つかっていないとのことです。

4. Bリーグサイトからの個人情報流出

2017年4月25日にぴあ株式会社は運営を受託しているバスケットボールのBリーグのチケットサイトに攻撃があり、個人情報約15万件(クレジットカード情報が約3万2千件)が流出した可能性が高いと発表しました。

この件では、2017年3月17日ごろからTwitterでの複数会員の書き込みや、さらにはクレジットカード会社からの連絡などにより、クレジットカードの情報が不正に悪用され、カードが不正利用されている可能性が高いということが明らかとなっています。

現在までのところ4月21日時点でクレジットカードの不正利用は197件630万円となっており、不正利用された被害額や、クレジットカードの再発行にかかる金額などはぴあが補償を行うとのことです。

<関連記事>
ぴあ受託のBリーグサイトへ不正アクセス、個人情報15万件流出か

Apache Struts2の脆弱性への対策は?

このように、メールアドレスやクレジットカード情報などの流出だけでなく、それが悪用され、実際に金銭的な被害が出ている現状があります。では具体的に私たちが出来る対処法とはなんでしょうか。

今回のApache Struts2の脆弱性による問題の対応をよく見ると「最新版に更新することで対応」という内容が頻繁に見られることがわかります。また、一般的に言われるセキュリティ対策の実施にも不正なプログラムの実行を防ぐなどといった効果があります。

大切なことは、こういった対策をサーバとクライアントの両方で確実に行うことです。まとめると対策は以下のようになります。

サーバ側での対策

  • OSの更新プログラム等は確実に適用する
  • ソフトウェアの更新プログラムを確実に適用する

クライアントPC側での対策

  • OSの更新プログラム等は確実に適用する
  • ソフトウェアの更新プログラムを確実に適用する
  • セキュリティ対策ソフトェアを導入し、定義ファイルを確実に更新する

両者ともに更新プログラムの適用は必須

これを見ると、特にクライアントPC側の対策は当たり前のことで誰でもが出来る内容です。しかし、これが十分出来ていないことで大規模な情報の流出や、カード情報の流出だけでなく、不正利用による金銭的被害などが起きてしまっています。

当たり前の対策をしっかりとすることが、有効なセキュリティ対策になるのです。

ゼロから始めるセキュリティ対策!
セキュリティチェック25
img_pdf

「セキュリティ対策」はインターネットを利用する全ての企業にとって必須

大企業であればお金をかけてしっかりとした対策に取り組めますが、
そんな予算もない中小企業の方々は、「セキュリティ対策が必要だとわかっていても何をすれば良いかわからない、、、」という方も多いはず。

そんな中小企業の方々、
特に50名以下の企業の社長、IT担当者、総務部担当者の方々は絶対に知っておきたい!自分でできるセキュリティ対策がチェックできるA4サイズ1枚にまとめた25項目のセキュリティチェックシートです。

メルマガ登録で無料ダウンロード!
無料ダウンロードはコチラ

IT企業10年間、Linux・Windows系のサーバ・インフラ系構築・運用エンジニアとして経験を積み、現在は、とある企業で社内SEとして活動。
多種多様な業務に携わってきたため知識は幅広く、得意分野はLinuxをはじめとしたサーバー構築。社内セキュリティ担当者としての経験も長く、セキュリティソフトウェアや、ゲートウェイ対策にも精通している専門家として活躍中。
>プロフィール詳細

こちらのページもご覧ください。

セキュリティ診断サービス

あなたの会社のWEBサイトは大丈夫?社内ネットワークも心配...
サイバー攻撃されて問題になる前にしっかりチェック!

標的型メール訓練サービス

近年増え続ける標的型攻撃の対策はできてますか?社長だけが大丈夫でも社員全員の意識を上げないと、メールが来たら1/3も...

セキュリティ人材の育成に

今後不足すると言われているセキュリティ人材の確保を早めに対応しませんか?たった2日で学べる集中コース!

情報セキュリティ監査

150,000円のセキュリティ監査!専属担当者の採用は難しいけど、セキュリティが心配...という方必見です。

メルマガ会員登録募集中

中小企業向けセキュリティチェックシートプレゼント!その他特典多数!詳細はこちらをクリック!

キーロガーとは?無料で検出する方法や駆除方法を解説

OSコマンド・インジェクションとは?その攻撃手法や対策を徹底解説

アドウェアとは?感染原因の把握や無料削除・駆除方法など徹底解説

作者:   サイバー攻撃 セキュリティ対策