警察庁は2015年11月15日に、サイバーセキュリティに関する情報提供サイト「@police」において、“突如”ある文書を出した。文書の名前は「『WebLogic Server』の脆弱性探索が目的と考えられるアクセスの観測について」というものだ。

 米OracleのWebアプリケーションサーバーである「WebLogic Server」で使われているOSSのJava言語ライブラリ「Apache Commons Collection(ACC)」にセキュリティ脆弱性が存在することを示し、対策を求める内容である。警察庁の定点観測システムで、11月13日の3時間に、この脆弱性の探索を狙ったアクセスを集中的に観測したという。

 この脆弱性を悪用されると、当該サーバーで任意のコードを実行され、情報の改ざんや漏えいにつながる可能性がある。

関連記事:幅広いJavaソフトのデータ処理に脆弱性、警察庁は探索目的のアクセスを観測

 情報処理推進機構(IPA)などが運営する脆弱性情報サイト「JVN」も、11月16日に「ACCライブラリのデシリアライズ処理に脆弱性」という文書を出した。JVNは脆弱性の影響を受けるソフトウエアとして、WebLogic Serverに加えて「WebSphere」「Jenkins」「OpenNMS」なども挙げている。さらに、Java言語以外のPythonやRubyといったプログラミング言語で書かれたアプリケーションにも同様の問題があると指摘している。

 この脆弱性について、米Oracleは「WebLogic Server」で脆弱性に対応するパッチ(更新プログラム)をリリースしている。パッチを適用すれば、ある程度脆弱性の影響を緩和できる。