遠隔(リモート)コード実行でのハッキング

今回はリモートコード実行脆弱性を突かれた事件から、その必要性について更に考察します。

Strutsの遠隔コード

2018年4月にSemmleのセキュリティ研究者は、Apache Strutsウェブアプリケーションフレームワークに重要なリモートコード実行脆弱性があることを公表しました。この脆弱性により、アタッカーは影響を受けるサーバーに遠隔から悪意のあるコードを実行することが可能になってしまいます。

＊Apache Strutsは、Apacheソフトウェア財団のApache Strutsプロジェクトにて開発されているオープンソースのJava Webアプリケーションフレームワークのことです。国際的にも広く利用されており、2017年の時点では、Vodafone、IRS、Atlanticなどfortune 100　企業の65%がこのApache Strutsフレームワークによって作られたウェブアプリケーションに依存しています。また脆弱性が発表されてからも、57%の企業が脆弱性のあるバージョンをダウンロードしており、引き続き利用しているようでした。

この脆弱性はApache Strutsの中核に存在しており、Struts を使っているすべてのアプリケーションが潜在的な影響をうけます。この脆弱性をついて社内ネットワークに侵入されれば、インフラとデータの両方に危険が及びます。

発見された脆弱性CVE-2018-1176は、信頼できないソースからのデータを処理する過程に潜むプログラミングミスで、具体的には、Struts REST プラグインがXMLペイロードデータをデシリアライズする際、処理に失敗すると発生するものです。

発生条件としては、以下が挙げられています。

• alwaysSelectFullNamespaceフラグが、Struts設定ではtrueに設定されている

      又は

• Struts設定ファイルにオプションのnamespace属性を指定しないか、ワイルドカードネームスペースを指定するactionタグ又はurlタグが含まれている

2008年からのApache Strutsのすべてのバージョン（Struts バージョン2.1.2 - 2.3.34、2.5 - 2.5.16）が影響を受け、フレームワークのRESTプラグインを利用しているすべてのアプリケーションが遠隔攻撃の危険にさらされます。

この脆弱性が脅威となる理由としてSemmleのセキュリティ研究者は「なによりも（この脆弱性は）アタッカーがこの弱点を攻撃するのが恐ろしいほど簡単なのである。ウェブブラウザさえあればいいのだ」と語っています。

アタッカーにとって必要なのは、対象となるサーバーの脆弱性を刺激するために特定のフォーマットに悪意のあるXMLコードを送るだけでいいのです。

脆弱性の開拓が成功すると、アタッカーは影響のあるサーバーを完全に掌握することが可能になり、いずれは同じネットワークの他のシステムに侵入することが可能になります。

Semmleによると、この欠陥は、2015年に発見されたApache Commons Collectionsの脆弱性に似ている、JAVAの危険な脆弱性であるとのことです。

最近は、多くのJAVAアプリケーションが複数の似た脆弱性の影響を受けています。
Strutsバージョン2.3.35および2.5.17のリリースでこの脆弱性は修正されているので、Apace Strutsを使用する組織や開発者はできるだけ早くApache Strutsのコンポーネントをこのバージョンにアップグレードすることが強く勧められています。
Strutsは一般向けのウェブサイトに使われていることから、アタッカーにとっては容易に悪用できるものです。Semmleは「影響を受けるシステムは直ちにアップグレードすることが決定的に重要で、対応が遅れれば無責任なリスクを冒す」と警告しています。

サイバーセキュリティと企業の向き合い方

脆弱性を放置していたために起きた事件としては、2017年に米信用情報機関大手のEquifaxから顧客約1億4300万人の個人情報が流出された事件があります。この事件では、Apache Strutsの脆弱性（CVE-2017-5638）が悪用されました。数だけ見ると、日本の全人口を超える個人情報が流出された訳です。

奇しくもこの脆弱性は、3月に発覚し、修正パッチが3月6日に公開されていました。Equifaxが確認したところによると、5月中旬から不正アクセスは始まっており、気付いたのが7月末でした。この時点ではまだ、Apache Strutsの脆弱性を修正するパッチは適用していなかったと思われます。厳しいコメントをすると「この事件は未然に防げたものだった」と言えるでしょう。

日本でもApache Strutsの脆弱性をつかれた企業が数社あります。そのうち1社では、クレジットカードのセキュリティ基準「PCI DSS」の認証を取得し、ある程度のセキュリティ体制を整えていたにもかかわらず、このシステムの脆弱性をつかれ、攻撃を受けました。

これらの事件を考えると、企業が常にサイバーセキュリティに敏感になり、最新のものにしておく必要があることを認識させられます。

シングテルでは、世界クラスのサイバーセキュリティでお客様のビジネスを守ることが可能です。シングテルのサイバーセキュリティ部門であるTrustwave（トラストウェーブ）社アナリストとエンジニアが最先端のサイバーセキュリティを専門的に支援します。

Trustwaveのサイバーセキュリティの特色として、以下が挙げられます。

1．脅威への持続的な対応

世界に拠点を持つセキュリティ・オペレーション・センター（SOC）を活用し、持続的なサポートをご提供

2．グローバルサポートチーム

Trustwaveにより認定されたグローバルエキスパートチームが、世界中のユーザー、また数十万台に及ぶデバイスやエンドポイントをサポート

3．情報セキュリティ・アドバイザー

Trustwaveの情報アドバイザーは、お客様の相談に個別に対応し、ビジネスゴールを果たすセキュリティの設計をサポート

さらに情報をお知りになりたい方はこちらをご覧ください。

https://www.singtel.com/jp/business/products-services/cybersecurity