話題のStruts2脆弱性、あなたのWebサイトは大丈夫ですか?

大きな被害をもたらした、Apache Struts2脆弱性を狙った集中攻撃。従来の対応スピードでは間に合わない!Webサイトの防御力を高めるには?

Struts2の脆弱性を狙った攻撃による被害の特徴

被害件数の多さ

まず注目されたのは、その被害件数の多さです。Apache Struts2は2007年のリリース以来、Webアプリケーション用フレームワークとして人気を博し、高い信頼性が要求されるシステムやWebサイトにも広く採用されていた経緯があり、現在も継続して利用し続けているWebサイトが数多く存在しています。

わずかな対応遅れが致命的に

最近では、脆弱性が公表されてから実際の攻撃が来るまでのインターバルが非常に短くなってきており、2017年3月のStruts2一斉攻撃でも、わずかにアップデートの対応が遅れたWebサイトが軒並み標的となってしまいました。管理者が朝出社してパッチや新バージョンを認識したときにはすでに遅い、という悪夢が現実のものとなりつつあるのです。

繰り返す、Struts2脆弱性問題

Struts2の脆弱性は、システム管理者が「またか…」と思ってしまうほど、何度も繰り返し報告されてきました。IPAから注意喚起が行われた脆弱性だけでも2016年4月から2017年3月までの1年間で4件を数えるなど、主要なフレームワーク/ミドルウェアの中でもかなり頻度が高いと言わざるを得ません。

参考:IPA 独立行政法人 情報処理推進機構:Apache Struts2 の脆弱性対策情報一覧

?なぜ、Struts2の脆弱性問題は繰り返し起こるのか?

Struts2の脆弱性が頻発する大きな理由として、Struts2に搭載されたOGNLと呼ばれる機能の存在が挙げられます。OGNLはJavaのアプリケーション上で動的パラメータを扱うための大変便利な仕組みですが、その高い自由度ゆえに、攻撃者がOGNLへのインジェクションに成功した場合、リモートからJavaの任意のコードを実行できてしまうこととなります(OGNLインジェクション攻撃)。
OGNLはStruts2の随所で活用されていることから、様々なバリエーションとしてこれまで何度も脆弱性が報告されてきました。今後も、OGNLがStruts2の主要機能の一つであり続け、OGNLインジェクションに対する根本的な対策がなされない限り、別の箇所で同様の脆弱性が発見されて攻撃を受ける可能性を完全になくすことは難しいと言えそうです。

さらに詳しくScutum技術者ブログ:「Struts2が危険である理由」

!実は、脆弱性診断でも十分には防げない

オープンソースとして開発されているStruts2は、新バージョンが公開される前にあらかじめ脆弱性診断を実施することができません。また、前述したように、脆弱性が公表されてから実際に攻撃が開始されるまでの期間が短くなってきていることから、その間に診断を実施することも現実的ではありません。
脆弱性診断サービスの内容にもよりますが、外部で開発や脆弱性対応が進められているフレームワーク特有の問題として、脆弱性診断のみに頼ったセキュリティ対策ではどうしても後手に回ってしまうこととなります。

さらに詳しくStruts2への現実的な対策は脆弱性診断?WAF?(SST Webサイト)

“できるだけ、新規では「使わない」、既存は「切り替える」”

脆弱性が頻繁に報告され、実際の被害も多数発生しているStruts2。
これから新規でWebサイトを立ち上げる際は、Struts2を「使わない」。
また、使用を続けているシステムやWebサイトについては、早い段階で別のフレームワークへ「切り替える」など、
“できるだけStrutsを避ける”ことが本来望ましい対応といえます。

どうしてもStruts2を使い続けなければならない場合は…まずは、脆弱性対応の基本を踏まえた運用を再確認しましょう

正しい情報の収集

IPAやJPCERT/CCの情報、ベンダーからの情報など、脆弱性やその対策に関する正しい情報を速やかに収集し、関係者間で共有できる体制を整えておきましょう。

パッチの適用、アップデート

脆弱性が報告されたら、パッチ適用やアップデートを行いましょう。誰が何を担当するのか、速やかに対応できるようあらかじめフローを決めておきましょう。

委託先と継続的に連絡

開発や運用を外注している場合は、万一の際にすぐ委託先担当者と連絡が取れるよう準備しておきましょう。再委託先がある場合も同様です。

脆弱性を狙った実際の攻撃を水際で防ぐ、WAF(ワフ:Web Application Firewall)の導入を検討しましょう

Webアプリケーションを防御するファイアウォール=WAFは、
もしWebサイトに脆弱性が潜んでいた場合でも、主要な攻撃の多くを無害化し、
被害を軽減するためのセキュリティ対策です。

さらに詳しくWAFとは?

Struts2脆弱性対策に強いWAFなら「Scutum(スキュータム)」

WAF「Scutum」は、Struts2の脆弱性対策に特に力を注いでおり、
一連の脆弱性の最大の原因といえるOGNLインジェクションを利用した主要な攻撃を
根本的に防御するための対策を実装済みです。

さらに詳しくApache Struts2 の脆弱性を利用した攻撃への対応

さらに詳しくScutum技術者ブログ:「OGNLインジェクションのゼロデイ攻撃を想定した防御機能」

そのお悩み、Scutumなら解決できるかも!

もちろん、アップデートやパッチ適用はしてますよ!ただ、今回は間に合ったからいいけど、今後もまだまだ脆弱性が出てくる可能性があるんでしょ?

実は…当時、導入に携わった担当が転職してしまって、後任の私じゃあ技術不足で脆弱性対応が不安なんです…。

脆弱性の報告は結構あるけど、1分を争って毎回対応するのは人の面でもコスト面でも、リソース的に難しいんだよなぁ…。

攻撃対象ってStruts2だけじゃないですよね。サイトもたくさんあるし、CMSとか、様々なミドルウェア、フレームワーク…すべてのセキュリティを管理するのは現実的に無理かも……。

クラウド型WAFのScutumに、ぜひご相談ください。

世界初のクラウド型WAFとして、業種/サイト種別/規模を問わず豊富な導入実績を持つScutum。2010年以来、クラウド型WAF市場国内No.1を連続して獲得しています。 さらに詳しく:選ばれてシェアNo.1

専門家不要でしっかり防御。Webセキュリティのプロが24時間365日運用。防御機能は随時アップデートされ、新たな脆弱性にも迅速に対応します。

クラウド型WAFだから、運用負荷もなく、低コスト。余計な自前の設備を一切持つことなく、より安全なWebサイトの運営が可能です。 さらに詳しく:サービス/料金表

サーバ側作業は不要で、約1週間~の短期間で導入が可能。ご利用は1ヵ月からOK。期間限定のWebサイトにも最適です。

Apache Struts2 の脆弱性に不安をお持ちのWebサイト運営者/管理者の方は、
お気軽にScutum推進室までご連絡ください。

お問い合わせはこちら

株式会社セキュアスカイ・テクノロジー 「Scutum推進室」
TEL: 03-3525-8045 (営業時間 平日10:00~18:00)
E-mail: info@scutum.jp

Webセキュリティについてさらに詳しく知りたい方は、こちらもどうぞ

Webサイト改ざんの傾向と対策

改ざん被害の実態と
対策について解説

MORE

WAF比較ポイント解説セミナー

様々なタイプのWAFの
比較ポイントを解説

MORE