情報処理推進機構(IPA)は2016年4月27日、JavaのWebアプリケーションフレームワーク「Apache Struts 2」に任意のコードを実行される脆弱性が判明した件で、緊急対策情報を発表した。既に攻撃コードがインターネット上に公開されており、セキュリティ会社のラックによれば日本国内でも攻撃が発生している。至急の対策が必要だ。

 脆弱性(CVE-2016-3081)が見つかったのはDMI(Dynamic Method Invocation)と呼ばれる機能で、影響を受けるバージョンは2.3.20から2.3.28(ただし2.3.20.3と2.3.24.3を除く)。同機能を有効にしていると、遠隔の第三者によってサーバー上で任意のコードを実行される可能性がある。ラックは「脆弱性の深刻度は高い」と話す。

 中国で見つかったとされる本脆弱性は日本でも攻撃が発生している。ラックによるサイバー攻撃の観測では、4月26日午後8時ころから複数の日本の企業・団体への攻撃が検知されている。「本脆弱性の有無を調べる目的の攻撃に加え、実際にバックドアを作ろうとする悪質な攻撃も検知している」(ラック)。多くは攻撃ツールなどを利用していると同社はみる。

 実際に攻撃が成功したとみられるインシデントも発生しているという。「社内の検証では複数の環境で今回の脆弱性を悪用する攻撃が容易に成功することを確認している。警戒すべき脆弱性だ」(同)。

 IPAによれば回避策は二つ。同機能を無効にするか、提供元の米Apache Software Foundationが公表している脆弱性を修正した最新バージョン(2.3.28.1)を適用するかのどちらかである。

 Struts 2の前バージョンである「Apache Struts 1」は既にサポートが終了している。今回の脆弱性がStruts 1に影響するかについて、IPAとラックはともに「調査中」とする。ラックは「現状ではStruts 1にDMIが存在しないと考えられるため、影響しない可能性が高いのではないか」と話す。

 Struts 1はサポートが切れていた2014年4月、脆弱性が見つかり、多くの組織が対応に追われた(関連記事:「Strutsの脆弱性を突く攻撃を検知、早急な対策を」、ラック西本専務)。Struts 1のユーザーは可能な限り早期に他ソフトへの移行すべきだろう。

情報処理推進機構の公表資料