• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

ソフトに脆弱性が生まれるワケ

Struts2の脆弱性、いまだに見つかる本当の理由

大森 敏行=日経NETWORK 2017/09/14 日経NETWORK
出典:日経NETWORK 2017年7月号pp.50-51
(記事は執筆時の情報に基づいており、現在では異なる場合があります)
目次一覧

 ソフトウエアの脆弱性が悪用された実例として、Webアプリケーションフレームワーク「Struts2」の脆弱性について見ていこう。2017年3月9日に公開された「S2-045」というStruts2の脆弱性が原因で、2017年3月以降、多くの情報漏洩事件が起こっている。クレジットカード番号の流出で金銭被害が出た事例もある。Strut2ではこれまでも多くの脆弱性が報告されている。S2-045を含め、多くはリモートコード実行の脆弱性だ。

 Struts2にリモートコード実行の脆弱性が多いのは、内部で「OGNL」というライブラリを利用しているためだ。OGNLは、Javaに似たコードをコンパイルなしで実行する。Struts2ではデータの処理にOGNLを多用している。このため、Struts2に脆弱性があると、例えば攻撃者がHTTPリクエストに埋め込んだ悪意のあるコードがOGNLによって実行されてしまう。

Struts2が備えるOGNL機能がコードを実行
Struts2ではJavaに似たコードをコンパイルなしで実行する「OGNL」というライブラリが使われている。ところがStruts2に脆弱性があると、攻撃者がHTTPリクエストに埋め込んだ悪意のあるコードがOGNLによって実行されてしまう。
[画像のクリックで拡大表示]

 OGNLで実行されるコードを埋め込む「OGNLインジェクション」の例を示したのが下の図だ。2013年に報告された「S2-013」という脆弱性を悪用する攻撃コードである。攻撃者はHTTPリクエストのパラメーターの値にOGNLコードを埋め込む。すると、OGNLがパラメーターを処理する際にコードが実行されてしまう。

埋め込んだOGNLコードが実行されてしまうOGNLインジェクションの例
2013年に報告された「S2-013」という脆弱性があると、HTTPリクエストのパラメーターの値として渡したOGNLコードが実行されてしまう。ここでは「hacked」という文字列を出力している。
[画像のクリックで拡大表示]

 実際のOGNLコードの内容を見てみよう。URLエンコードをデコードし、見やすいように整形したコードを示した。最初の3行で、コードを実行できるようにするため権限を変更している。OGNLインジェクションでよく見られる特徴的なコードだ。続いて、攻撃者が実行したい処理を記述する。

▼多くの脆弱性が報告されている
情報処理推進機構(IPA)は「Apache Struts2 の脆弱性対策情報一覧」(https://www.ipa.go.jp/security/announce/struts2_list.html)というWebページにStruts2の脆弱性をまとめている。
▼OGNL
Object Graph Navigation Languageの略。
▼URLエンコード
URLでは使えない文字を使う際に行われるエンコード。正確にはパーセントエンコーディングと呼び、RFC3986のSection 2.1で定義されている。
▼攻撃者が実行したい処理
ここではサンプルとして「hacked」という文字列を出力している。

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

  • 【記者の眼】

    戸籍のマイナンバー対応を阻む2つの壁

     住民票と並んで個人にとってなじみの深い公的書類に戸籍がある。その戸籍をマイナンバーに対応させるための法制化の取り組みが本格化した。住民票や課税証明書と同様に、マイナンバーに基づく情報連携によって行政機関への戸籍謄抄本の提出を不要にして、国民の利便性向上と行政事務の効率化につなげるのが狙いだ。

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

クライアント/OA機器

ネットワーク/通信サービス

セキュリティ

もっと見る