JavaのWebアプリケーションフレームワーク「Apache Struts2」をサイバー攻撃者が意のままに操れる脆弱性(S2-045、CVE-2017-5638)が2017年3月6日、見つかった。攻撃はいまだ続いており、攻撃手法を変えてくることも想定できる。修正プログラム(パッチ)を適用やシステムの停止といった回避策を取るとともに、当面は警戒が必要だ。

 同脆弱性は日本では情報処理推進機構(IPA)が8日に注意喚起を公表し、JPCERTコーディネーションセンターも9日に公表した。これら注意喚起を基にGMOペイメントゲートウェイが9日夜にシステムを調査したところ、既に何者かが不正アクセスしていた事実が判明。同社は72万件の個人情報が漏洩した可能性があると公表した。

重要インシデントは既に14件

 セキュリティサービスを提供するラックも3月10日、同脆弱性を狙った攻撃と被害が増加しているとした注意喚起を公表。同社が顧客のセキュリティ状況を24時間体制で遠隔監視するSOC(セキュリティ・オペレーション・センター)サービス「JSOC」で観測した攻撃数は7日が150件程度だったことに対し、8日は400件弱、9日は500件弱と日増しに増えている。

ラックが検知したStruts2のインシデント数
ラックが検知したStruts2のインシデント数
(出所:ラック)
[画像のクリックで拡大表示]

 9日ころからは、Webサイトにバックドア(裏口)を設置する攻撃など「非常に重大な被害につながる恐れのある攻撃」(ラック)を検知。複数の顧客で被害が発生したり、同脆弱性の存在を確認したことによる重要インシデントが発生しているという。その数は8日が2件、9日が12件で合計14件に上っている。

 「他のシグネチャー(検知条件)でたまたまこの脆弱性を狙った攻撃を検知した」と同社の品川亮太郎シニアセキュリティアナリストは話す。攻撃の検知数が増えている背景には、「同脆弱性を検知するシグネチャーを追加しているため検知できるようになったことと、攻撃が増加していることの両面がある」(品川氏)とする。