警察庁は2014年4月27日、JavaのWebアプリケーションフレームワーク「Apache Struts 2」の脆弱性を狙ったアクセスを検知したとして注意を呼びかけた。
多くのWebサイトで利用されているApache Struts 2には、深刻な脆弱性が見つかっている。細工が施されたリクエストを送信されると、Webサーバーに保存された情報を盗まれたり、悪質なプログラムを実行されたりする恐れがある。
Apache Struts 2については、脆弱性を悪用する攻撃プログラムが出回っているとして、情報処理推進機構(IPA)が4月17日に警告していた(関連記事:Apache Struts 2の脆弱性対策が急務、攻撃プログラムが出回る)。
その時点では、バージョン 2.3.16.1へのバージョンアップが対策として推奨されていたが、4月24日には同バージョンの脆弱性対策に漏れがあることが判明(関連記事:Apache Struts最新版に脆弱性対策の漏れ)。さらに同日、既にサポートが終了しているApache Struts 1にも脆弱性があるとして、ラックが注意を呼びかけた(関連記事:Strutsの脆弱性を突く攻撃を検知、早急な対策を)
こういった状況を受けて4月25日、国税庁は、Apache Struts 1を利用しているWebサイトで運用する「確定申告書作成コーナー」など3つのサービスを停止した(関連記事:国税庁がStruts脆弱性で確定申告書作成サービス停止)。
実際、警察庁によれば、今回の脆弱性を狙ったアクセスが発生しているという。同庁の定点観測システムにおいて、4月26日に攻撃と思われるアクセスを検知したとしている(図)。Apache Strutsを利用しているWebサイトの管理者は、対策が急務だ。
Apache Struts 2については、脆弱性を修正した最新版「Apache Struts 2.3.16.2」にバージョンアップすることが対策となる。同バージョンは4月25日に公開された。すぐにバージョンアップできない環境では、攻撃目的のリクエストを遮断することなどが一時的な回避策となる。
Apache Struts 1についてはサポートが終了しているので、修正版は提供されない。警察庁では、Apache Struts 1を使用しているWebサイトに対して、公開を停止することを推奨している。