• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

ゾンビOSSが危ない

[1]オープンソースソフトウエアにも寿命がある

中田 敦=日経コンピュータ 2015/03/23 日経コンピュータ
出典:日経コンピュータ 2014年12月11日号pp.28-31
(記事は執筆時の情報に基づいており、現在では異なる場合があります)
目次一覧

既に死んでいるにもかかわらず町中を徘徊(はいかい)し、人間に危害を加えようとする怪物「ゾンビ」―。2014年。ソフトウエアとしての寿命が尽きた「ゾンビOSS」が世界中の情報システムを危機に陥れた。

 「Javaアプリケーションフレームワーク『Struts 1』のセキュリティ脆弱性に対応するために、国税庁の確定申告サービスが停止」「暗号ソフト『OpenSSL』の『心臓出血(Heartbleed)』と呼ばれる脆弱性が攻撃されて、大手カード会社のWebサイトから個人情報が流出」―。2014年はOSS(オープンソースソフトウエア)の脆弱性が大きな注目を集めた年だった(図1)。

図1 2014年に発生した主なOSSセキュリティ問題
OSSの脆弱性が社会的な事件となった
[画像のクリックで拡大表示]

 脆弱性が見つかるのは何もOSSに限った話ではない。「Windows」や「Adobe Flash」などソースコードが公開されていない「商用(プロプライエタリ)ソフトウエア」にも毎月のように脆弱性が見つかっている。

 それでもStruts 1やOpenSSLの脆弱性は、今日のOSSが抱える問題点を浮き彫りにしたという意味で特筆すべき事件だった。

 第1は、開発コミュニティーの事情によってソフトウエアの保守が満足に行われない状態になっていたこと。第2は、ユーザー企業が気付かないうちに幅広いシステムで、危険を抱えたソフトが使われていたことだ。具体的に見ていこう。

人気ソフトが2013年に保守終了

 Struts 1は、プログラミング言語の「Java」を使ってWebアプリケーションを開発するためのフレームワークである。このStruts 1に2014年4月、Webサーバーに保存した情報が盗まれたり、悪質なプログラムを実行されたりする恐れがある脆弱性が見つかった。

ここから先はITpro会員(無料)の登録が必要です。

次ページ Struts1はこの時点で、多くの日本企業のシス...
  • 1
  • 2
  • 3
  • 4
  • 5

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

クライアント/OA機器

ネットワーク/通信サービス

セキュリティ

もっと見る