遠隔(リモート)コード実行でのハッキング

近年ますます必要になるハッキング対策などのサイバーセキュリティですが、今回はリモートコード実行脆弱性を突かれた事件から、その必要性について更に考察します。

FacebookTwitterLinkedIn
RemoteCode-Hacking

今回はリモートコード実行脆弱性を突かれた事件から、その必要性について更に考察します。

Strutsの遠隔コード

2018年4月にSemmleのセキュリティ研究者は、Apache Strutsウェブアプリケーションフレームワークに重要なリモートコード実行脆弱性があることを公表しました。この脆弱性により、アタッカーは影響を受けるサーバーに遠隔から悪意のあるコードを実行することが可能になってしまいます。

*Apache Strutsは、Apacheソフトウェア財団のApache Strutsプロジェクトにて開発されているオープンソースのJava Webアプリケーションフレームワークのことです。国際的にも広く利用されており、2017年の時点では、Vodafone、IRS、Atlanticなどfortune 100 企業の65%がこのApache Strutsフレームワークによって作られたウェブアプリケーションに依存しています。また脆弱性が発表されてからも、57%の企業が脆弱性のあるバージョンをダウンロードしており、引き続き利用しているようでした。

この脆弱性はApache Strutsの中核に存在しており、Struts を使っているすべてのアプリケーションが潜在的な影響をうけます。この脆弱性をついて社内ネットワークに侵入されれば、インフラとデータの両方に危険が及びます。

発見された脆弱性CVE-2018-1176は、信頼できないソースからのデータを処理する過程に潜むプログラミングミスで、具体的には、Struts REST プラグインがXMLペイロードデータをデシリアライズする際、処理に失敗すると発生するものです。

発生条件としては、以下が挙げられています。

  • alwaysSelectFullNamespaceフラグが、Struts設定ではtrueに設定されている

      又は

  • Struts設定ファイルにオプションのnamespace属性を指定しないか、ワイルドカードネームスペースを指定するactionタグ又はurlタグが含まれている

2008年からのApache Strutsのすべてのバージョン(Struts バージョン2.1.2 - 2.3.34、2.5 - 2.5.16)が影響を受け、フレームワークのRESTプラグインを利用しているすべてのアプリケーションが遠隔攻撃の危険にさらされます。

この脆弱性が脅威となる理由としてSemmleのセキュリティ研究者は「なによりも(この脆弱性は)アタッカーがこの弱点を攻撃するのが恐ろしいほど簡単なのである。ウェブブラウザさえあればいいのだ」と語っています。

アタッカーにとって必要なのは、対象となるサーバーの脆弱性を刺激するために特定のフォーマットに悪意のあるXMLコードを送るだけでいいのです。

脆弱性の開拓が成功すると、アタッカーは影響のあるサーバーを完全に掌握することが可能になり、いずれは同じネットワークの他のシステムに侵入することが可能になります。

Semmleによると、この欠陥は、2015年に発見されたApache Commons Collectionsの脆弱性に似ている、JAVAの危険な脆弱性であるとのことです。

最近は、多くのJAVAアプリケーションが複数の似た脆弱性の影響を受けています。
Strutsバージョン2.3.35および2.5.17のリリースでこの脆弱性は修正されているので、Apace Strutsを使用する組織や開発者はできるだけ早くApache Strutsのコンポーネントをこのバージョンにアップグレードすることが強く勧められています。
Strutsは一般向けのウェブサイトに使われていることから、アタッカーにとっては容易に悪用できるものです。Semmleは「影響を受けるシステムは直ちにアップグレードすることが決定的に重要で、対応が遅れれば無責任なリスクを冒す」と警告しています。

サイバーセキュリティと企業の向き合い方

脆弱性を放置していたために起きた事件としては、2017年に米信用情報機関大手のEquifaxから顧客約1億4300万人の個人情報が流出された事件があります。この事件では、Apache Strutsの脆弱性(CVE-2017-5638)が悪用されました。数だけ見ると、日本の全人口を超える個人情報が流出された訳です。

奇しくもこの脆弱性は、3月に発覚し、修正パッチが3月6日に公開されていました。Equifaxが確認したところによると、5月中旬から不正アクセスは始まっており、気付いたのが7月末でした。この時点ではまだ、Apache Strutsの脆弱性を修正するパッチは適用していなかったと思われます。厳しいコメントをすると「この事件は未然に防げたものだった」と言えるでしょう。

日本でもApache Strutsの脆弱性をつかれた企業が数社あります。そのうち1社では、クレジットカードのセキュリティ基準「PCI DSS」の認証を取得し、ある程度のセキュリティ体制を整えていたにもかかわらず、このシステムの脆弱性をつかれ、攻撃を受けました。

これらの事件を考えると、企業が常にサイバーセキュリティに敏感になり、最新のものにしておく必要があることを認識させられます。

シングテルでは、世界クラスのサイバーセキュリティでお客様のビジネスを守ることが可能です。シングテルのサイバーセキュリティ部門であるTrustwave(トラストウェーブ)社アナリストとエンジニアが最先端のサイバーセキュリティを専門的に支援します。

deployment
deployment

Trustwaveのサイバーセキュリティの特色として、以下が挙げられます。

1.脅威への持続的な対応

世界に拠点を持つセキュリティ・オペレーション・センター(SOC)を活用し、持続的なサポートをご提供

2.グローバルサポートチーム

Trustwaveにより認定されたグローバルエキスパートチームが、世界中のユーザー、また数十万台に及ぶデバイスやエンドポイントをサポート

3.情報セキュリティ・アドバイザー

Trustwaveの情報アドバイザーは、お客様の相談に個別に対応し、ビジネスゴールを果たすセキュリティの設計をサポート

さらに情報をお知りになりたい方はこちらをご覧ください。

https://www.singtel.com/jp/business/products-services/cybersecurity

関連記事

サイバーセキュリティで AI から企業機密を保護するShare
Apr 2025 | -
サイバーセキュリティ
サイバーセキュリティで AI から企業機密を保護する
このブログでは、AI を悪用した不正侵入から企業資産を守るために、Singtel が提供するサイバーセキュリティソリューションをご紹介します。さらに、プライベートな会話を高度に暗号化することで、いかに従業員の機密性を確保するかについても取り上げます。
従来の防御の先へ:サイバーセキュリティの再考Share
Dec 2024 | -
サイバーセキュリティ
従来の防御の先へ:サイバーセキュリティの再考
企業がデジタルトランスフォーメーション (DX) を加速させるにつれ、サイバー攻撃の巧妙さも増しています。このような脅威と戦うために、企業は先進的なサイバーセキュリティのイノベーションを模索する必要があります。ここでは、通信事業者のデータがそれにどのように役立つかをご紹介します。
MSS とサイバー攻撃からの復旧Share
Oct 2024 | -
サイバーセキュリティ, Japanese, Japan
MSS とサイバー攻撃からの復旧
ソフトウェアのエラーにより発生した大規模な IT 障害の結果として、グローバル企業の脆弱性が露呈しています。では、サイバー攻撃により同様なインシデントが発生した場合、企業は何をすべきでしょうか?最初にすべきなのは、問題の存在を認識することです。以下に、マネージドセキュリティサービス (MSS) がどのように役立つかをご紹介します。