Struts2の脆弱性がターゲットになった事例を紹介!

サイバー攻撃


近年、Struts1に代わって採用されたフレームワークである“Struts2”において、脆弱性がターゲットになった事例が数多く発生しています。
今回は、Struts2の概要と併せて、Struts2の脆弱性について、そして具体的にどのような事例が報告されているのかについて解説したいと思います。

“Struts2”の概要

Struts2とは、有名なWebアプリケーション開発フレームワークのことを言います。
ちなみに、フレームワークとは、アプリケーションの土台となるソフトウェアのことを指しており、Struts2は、“MVC”という考え方に基づいて設計されています。
また、MVCは、アプリケーションを“Model”、“View”、“Controller”の3種類に分割して考えるモデルで、それぞれ以下のような役割を持っています。

 Model:アプリケーションのうち、データを保持、管理する部分を指し、Controllerからの呼び出しに応じて、内部状態を変化する機能を実装する
 View:アプリケーションの外観を作成する部分を指し、Modelの内容に応じて、外観を作成する機能を実装する
 Controller:アプリケーションのうち、ユーザーからの制御を処理する部分を指し、ユーザーからの入力をModelに対して通知する機能を実装する

Struts2の脆弱性って?

Struts2で大きく被害を出していると言われているのは、“OGNL(Object Graph Navigation Library)インジェクションです。
OGNLには、JavaとHTTPを結びつけるための役割、またはJava Server Page内での記述をより便利にする役割がありますが、これを使用することで、ほぼJavaのコードそのものを記述できてしまいます。
つまり、サイバー攻撃者が、任意のJavaコードを実行できるということです。
これ以外にも、Struts2はさまざまな脆弱性を抱えており、幾度となくサイバー攻撃のターゲットとなっています。

Struts2の脆弱性がターゲットになった事例①Equifax個人情報流出事件

2017年9月、アメリカの大手信用情報機関である“Equifax”において、顧客約1億4,300万人の個人情報が流出しました。
この事件は、アメリカのWebサイトのアプリケーションに存在していた、Struts2の脆弱性が悪用されたことによって、発生した事件です。
Equifaxによると、不正アクセスに気付いたのは2017年7月で、不正アクセスは5月中旬から始まっていたと言います。
この時点でまだ、Struts2の脆弱性を修正するパッチを適用していなかったと思われます。
また、この事件を受けて、米連邦取引員会は、Equifaxを語って、電話などで個人情報を聞き出そうとする手口の詐欺に対して、注意を呼び掛けています。

Struts2の脆弱性がターゲットになった事例②総務省サイト個人情報流出事件

2017年4月、政府統計の総合窓口“e-Stat”の機能である“地図による小地域分析”において、第三者による不正アクセスで、同機能に登録された情報が流出する事件が発生しました。
これは、Struts2の脆弱性を利用した不正アクセスを受け、同機能に悪意のあるプログラムが仕掛けられたことが原因とされています。
また、調査の結果、流出した情報には、公表された統計情報に加えて、サービス開始時から同サイトに利用登録した約23,000人の登録情報と、利用者がアップロードしたデータが含まれている恐れがあることもわかっています。
総務省は、この事件を受け、システムの監視を強化するとともに、アプリケーションの脆弱性の解消など、再発防止に取り組むとしています。

Struts2の脆弱性がターゲットになった事例③日本郵便情報流出事件

2017年3月、日本郵便が運営している“国際郵便マイページサービス”のWebサイトにおいて、第三者による不正アクセスと、同サイトにおける情報が流出する事件が発生しました。
この事件も、Struts2の脆弱性を悪用した不正アクセスが原因であり、同サイトには悪意のあるプログラムが仕込まれていたと言います。
また、調査の結果、2017年3月12日~3月13日までの間、同サイト上で作成された1,104件の送り状、また同サイトに登録されている29,116件のメールアドレスに、流出の可能性があると判明しました。
同サイトはこの事件を受けて緊急停止し、その後すぐに復旧しましたが、情報が流出した可能性のある顧客については、個別に連絡するという対応を余儀なくされています。

Struts2の脆弱性がターゲットになった事例④クレジットカード支払いサイト個人情報流出事件

2017年3月、東京都税クレジットカード支払いサイト、および独立行政法人住宅金融支援機構の団体信用生命保険特約料のクレジットカード支払いサイトにおいて、不正アクセスが発生し、個人情報が流出しました。
これも、Struts2の脆弱性を突かれたものです。
この事件の直前、脆弱性を修正したバージョンがリリースされていたため、上記サイトの運営委託元である“GMOペイメントゲートウェイ株式会社”は、この脆弱性の対象となる同社のシステムを洗い出し、その際に、今回の事件が発覚しました。
なお、流出した可能性のある情報は、東京都税クレジットカード支払いサイトで約67万件、住宅支援機構のクレジットカード支払いサイトで約43,000件とされています。

まとめ

ここまで解説したように、脆弱性を狙った攻撃は、短期間で甚大な被害をもたらすこともあります。
そのため、企業では、必ず“SiteLock”を導入するようにしましょう、
これは、ユーザーのWebサイトに潜むセキュリティの脅威を診断によって検知し、問題発生時には迅速に処置をしてくれる優れものです。
また、国内外1,200万を超えるユーザーが導入しているため、信頼性に関しても問題ありません。

タイトルとURLをコピーしました