Apache Struts2の脆弱性

 2016年に2つに分かれていた国内トップレベルのリーグを一つにまとめて開幕したバスケットのプロリーグ、Bリーグの初年度(2016-2017シーズン)は、栃木ブレックスが優勝して幕を閉じました。チャンピオンシップは地上波でも中継されましたし、全体として思ったより盛り上がったという印象です。

 

 この盛り上がりに水を差すような事件が2017年4月25日に発表されました。ぴあがBリーグから受託運営しているチケット販売サイトとファンクラブ受付サイトが攻撃を受け、会員のクレジットカード番号を含む個人情報が漏洩したのです。

 

 これは、Apache Struts2の脆弱性を突く攻撃を受けたものです。Apache Struts2とは、Web上でJavaのアプリケーションを動かすためのフレームワークですが、結構脆弱性が発見されることが多く、今回も3月7日に脆弱性とその対策となる修正パッチが発表されました。

 下記サイトのS2-045というのがそれです。

https://www.ipa.go.jp/security/announce/struts2_list.html

 

 被害に遭ったBリーグのサーバには、3月15日に修正パッチが適用されたようですが、攻撃者は一足早く攻撃していたようです。これは、ゼロデイ攻撃といって、修正パッチが発表されたら間髪入れずそれを利用した攻撃を仕掛けまくることで、まだ対策が終わっていないサーバから情報を盗むわけです。

 

 Apache Struts2はかなり多くのサーバで使われていますし、ソフトウェアの性質上、その脆弱性は情報漏洩に直結します。よって、修正パッチが発表されたら即座に適用しなければなりません。ただ、建前ではそういっても実際の運用ではなかなか即日適用できまませんね。簡単な問題ではありません。

 

 総務省統計局と独立行政法人統計センターが運営している「jSTAT MAP」という統計データと地図を組合せて分析を行うことができるWebサイトがあるのですが、ここもApache Struts2の脆弱性を攻撃されて情報漏洩しました。こちらは、無料サービスなのでクレジットカード番号は漏れていません。漏れたのは氏名や職業、会社名、利用目的など、利用者登録するときに入力する情報です。

 

コラム一覧へ