写真●ラックの西本逸郎取締役専務執行役員
[画像のクリックで拡大表示]
多くのWebサイトで利用されているWebアプリケーションフレームワーク「Apache Struts」に深刻な脆弱性が見つかっている(関連記事:Apache Struts 2の脆弱性対策が急務、攻撃プログラムが出回る)(関連記事:Apache Struts最新版に脆弱性対策の漏れ、IPAがWAFやIPSでの対策呼びかけ)。もともとはStruts2系の脆弱性とされていたが、4月24日にラック サイバー・グリッド研究所がStruts1系にも脆弱性があることを発見した。情報の窃取やサイトの改ざんなど様々な被害が起こり得る。Web管理者など多数の関係者に影響しそうな情勢だ。ラックの西本逸郎取締役専務執行役員に影響と対策を聞いた(聞き手は白井 良=日経SYSTEMS)。
Apache Strutsの脆弱性の深刻度は。
4月25日未明に、当社でApache Strutsの脆弱性を突いた攻撃を観測した。Struts1系、Struts2系のどちらを狙っているのかはまだ分かっていない。Webサイトの管理者や運営者など、関係者は早急に対応する必要がある。日本はこれから大型連休に入るが、海外の攻撃者にとって連休は関係ない。早く対策すべきだ。
具体的に何をすべきなのか。
すぐに実施すべき対策としては、大きく二つの方法が考えられる。一つは攻撃の通信を通さないようにするやり方だ。これは1分1秒でも停止したくないWebサイトに向く。もう一つは外向けの通信をファイアウオールで止める方法だ。最悪の場合、Webサイトが止まってもいいが、情報の流出だけは避けたいというWebサイトにとってやや簡易な対策となる。
