• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

速報

止まらぬStruts2脆弱性被害、情報通信研究機構が378人分の個人情報漏洩の恐れ

井上 英明=日経コンピュータ 2017/05/09 日経コンピュータ

 情報通信研究機構(NICT)は2017年5月2日、JavaのWebアプリケーションフレームワーク「Apache Struts2」の脆弱性を突かれ、サーバーから378人分の個人情報が流出した恐れがあると公表した。現時点で個人情報を悪用した事象の報告は受けていないという。

不正アクセスを公表したページ
(出所:情報通信研究機構)
[画像のクリックで拡大表示]

 不正アクセスを受けたのは、音声対話研究用のソフトウエア開発キット「MCML音声インタラクションSDK」を提供するための公開サーバー。NICTのユニバーサルコミュニケーション研究所が所有し、サーバー内に利用者378人分のIDとメールアドレス、暗号化されたパスワードを保存していた。

 NICTのCSIRT(コンピュータ・セキュリティ・インシデント・レスポンス・チーム)である「NICT情報セキュリティインシデント対応チーム(NICT-CSIRT)」の寺田健次郎氏によれば、脆弱性は「S2-045」で、不正アクセスは3月8日午前10時30分ころだったという。ログを解析すると何者かがデータベースへのアクセスを試みていたことが分かった。

 NICT-CSIRTは3月8日にJPCERTコーディネーションセンターが発信した早期警戒情報や3月9日に情報処理推進機構(IPA)が公表した注意喚起でStruts2の脆弱性情報を把握。8日からNICT内の各研究所や研究センターに脆弱性情報を共有し、対応を促した。

 3月13日にユニバーサルコミュニケーション研究所でStruts2で構築したサーバーがあると分かり、同時に公開を停止。その後の内部調査で情報漏洩の可能性が判明した。公開停止サービスは再開しないという。

 ラックやNTTセキュリティ・ジャパンの観測によれば、Struts2の脆弱性を狙った攻撃は3月7日から日本で観測され始めた。寺田氏は「非常に早いタイミングで攻撃された」と話す。一方で、3月8日に脆弱性情報を得て、3月13日までサーバー停止が遅れた点について寺田氏は「現場への連絡が密でなかった」と課題を挙げる。

 Struts2の脆弱性を悪用された事案は3月10日に東京都などが公表して以来、今回で公表ベースで12件目となった。

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

クライアント/OA機器

ネットワーク/通信サービス

セキュリティ

もっと見る