被害件数の多さ
まず注目されたのは、その被害件数の多さです。Apache Struts2は2007年のリリース以来、Webアプリケーション用フレームワークとして人気を博し、高い信頼性が要求されるシステムやWebサイトにも広く採用されていた経緯があり、現在も継続して利用し続けているWebサイトが数多く存在しています。
わずかな対応遅れが致命的に
最近では、脆弱性が公表されてから実際の攻撃が来るまでのインターバルが非常に短くなってきており、2017年3月のStruts2一斉攻撃でも、わずかにアップデートの対応が遅れたWebサイトが軒並み標的となってしまいました。管理者が朝出社してパッチや新バージョンを認識したときにはすでに遅い、という悪夢が現実のものとなりつつあるのです。
繰り返す、Struts2脆弱性問題
Struts2の脆弱性は、システム管理者が「またか…」と思ってしまうほど、何度も繰り返し報告されてきました。IPAから注意喚起が行われた脆弱性だけでも2016年4月から2017年3月までの1年間で4件を数えるなど、主要なフレームワーク/ミドルウェアの中でもかなり頻度が高いと言わざるを得ません。
なぜ、Struts2の脆弱性問題は繰り返し起こるのか?
Struts2の脆弱性が頻発する大きな理由として、Struts2に搭載されたOGNLと呼ばれる機能の存在が挙げられます。OGNLはJavaのアプリケーション上で動的パラメータを扱うための大変便利な仕組みですが、その高い自由度ゆえに、攻撃者がOGNLへのインジェクションに成功した場合、リモートからJavaの任意のコードを実行できてしまうこととなります(OGNLインジェクション攻撃)。
OGNLはStruts2の随所で活用されていることから、様々なバリエーションとしてこれまで何度も脆弱性が報告されてきました。今後も、OGNLがStruts2の主要機能の一つであり続け、OGNLインジェクションに対する根本的な対策がなされない限り、別の箇所で同様の脆弱性が発見されて攻撃を受ける可能性を完全になくすことは難しいと言えそうです。
実は、脆弱性診断でも十分には防げない
オープンソースとして開発されているStruts2は、新バージョンが公開される前にあらかじめ脆弱性診断を実施することができません。また、前述したように、脆弱性が公表されてから実際に攻撃が開始されるまでの期間が短くなってきていることから、その間に診断を実施することも現実的ではありません。
脆弱性診断サービスの内容にもよりますが、外部で開発や脆弱性対応が進められているフレームワーク特有の問題として、脆弱性診断のみに頼ったセキュリティ対策ではどうしても後手に回ってしまうこととなります。
脆弱性が頻繁に報告され、実際の被害も多数発生しているStruts2。
これから新規でWebサイトを立ち上げる際は、Struts2を「使わない」。
また、使用を続けているシステムやWebサイトについては、早い段階で別のフレームワークへ「切り替える」など、
“できるだけStrutsを避ける”ことが本来望ましい対応といえます。
IPAやJPCERT/CCの情報、ベンダーからの情報など、脆弱性やその対策に関する正しい情報を速やかに収集し、関係者間で共有できる体制を整えておきましょう。
脆弱性が報告されたら、パッチ適用やアップデートを行いましょう。誰が何を担当するのか、速やかに対応できるようあらかじめフローを決めておきましょう。
開発や運用を外注している場合は、万一の際にすぐ委託先担当者と連絡が取れるよう準備しておきましょう。再委託先がある場合も同様です。
Webアプリケーションを防御するファイアウォール=WAFは、
もしWebサイトに脆弱性が潜んでいた場合でも、主要な攻撃の多くを無害化し、
被害を軽減するためのセキュリティ対策です。
WAF「Scutum」は、Struts2の脆弱性対策に特に力を注いでおり、
一連の脆弱性の最大の原因といえるOGNLインジェクションを利用した主要な攻撃を
根本的に防御するための対策を実装済みです。
もちろん、アップデートやパッチ適用はしてますよ!ただ、今回は間に合ったからいいけど、今後もまだまだ脆弱性が出てくる可能性があるんでしょ?
実は…当時、導入に携わった担当が転職してしまって、後任の私じゃあ技術不足で脆弱性対応が不安なんです…。
脆弱性の報告は結構あるけど、1分を争って毎回対応するのは人の面でもコスト面でも、リソース的に難しいんだよなぁ…。
攻撃対象ってStruts2だけじゃないですよね。サイトもたくさんあるし、CMSとか、様々なミドルウェア、フレームワーク…すべてのセキュリティを管理するのは現実的に無理かも……。
世界初のクラウド型WAFとして、業種/サイト種別/規模を問わず豊富な導入実績を持つScutum。2010年以来、クラウド型WAF市場国内No.1を連続して獲得しています。 さらに詳しく:選ばれてシェアNo.1
専門家不要でしっかり防御。Webセキュリティのプロが24時間365日運用。防御機能は随時アップデートされ、新たな脆弱性にも迅速に対応します。
クラウド型WAFだから、運用負荷もなく、低コスト。余計な自前の設備を一切持つことなく、より安全なWebサイトの運営が可能です。 さらに詳しく:サービス/料金表
サーバ側作業は不要で、約1週間~の短期間で導入が可能。ご利用は1ヵ月からOK。期間限定のWebサイトにも最適です。
Apache Struts2 の脆弱性に不安をお持ちのWebサイト運営者/管理者の方は、
お気軽にScutum推進室までご連絡ください。
株式会社セキュアスカイ・テクノロジー 「Scutum推進室」
TEL: 03-3525-8045 (営業時間 平日10:00~18:00)
E-mail: info@scutum.jp