三井物産セキュアディレクション株式会社の寺田 健さんが発見した、Apache Struts 2の脆弱性(Apache Struts 2 Documentation – Security Bulletins > S2-016、S2-017)が猛威を振るっています。※1
Apache Struts 2はJava Servlet/JSPを用いて少し前に構築されたサイトで特に多く採用されているフレームワーク※2で、影響の及ぶサイトが非常に多く存在していたはずです。また、脆弱性の内容がとても致命的で、しかも攻撃する側にとって恐ろしく使いやすいものだったということで、被害が広がってしまったようです(NOPスレッドがどうしたとか、注入するバイナリコードがどうとかを考える必要すらなく任意のソースコードを外部から注入できる脆弱性です)。
今回の件では私も完全に無関係とは言えず、社内の別部署で、完全に手も口も出せないところのシステムがこれでやられてしまいました。この関係で、このシステムに連携して動作していた、私たちの担当部分のシステムの一部の機能を停止せざるを得なくなるという状態に陥ってしまいました。これによってお客様にご迷惑をおかけすることになってしまい、本当に申し訳ない思いでいっぱいです。
私が仕事上で体験したセキュリティがらみの問題発生はこれが2度目です。前回はいわゆるGumblarが流行っていた時です(以下、Gumblarとは広義の意味での「いわゆるGumblar」を指す)。これは現在とは別の職場で、デザインチームで制作していた静的HTMLにこのGumblarが混入していました(ただ、一部外注もあったので、結局どこからということはわかりませんでした)。一般公開前に発見され、本来であればそれで終わる話だったのですが、諸事情でそれがそのまま一般公開されてしまったということで、セキュリティ事故になってしまいました。複数の会社がかかわる場合にはいろいろな手違いが発生するものだと、この時ほど痛感したことはありません。
結局、この時は混入させた側の制作元(私の職場)ではなく、手違いで公開をした側の会社がプレスリリースを出してお詫びを掲載することとなりました。いずれにしても最初の原因はこちらにあるだけに、何とも言えないひどい気分を味わうことになりました。
今は大丈夫なシステムやWebページでも、いつ、どんなきっかけでセキュリティ事故につながるかわかりません。今回問題がなかったところでも、対岸の火事と思わずに、「自分の組織で、もしもこのようなセキュリティ事故が起こったらどうやって対応するだろうか」ということを考える(シミュレートする)機会としていただければいいなぁ、と思います。
※本稿では意図的に一部表現をあいまいにしています。ご了承ください。
- 参考:やまぬWeb改ざん、Apache Struts2の被害も拡大 / ITエキスパートのための問題解決メディア – @IT
- 現在は他にもいくつか選択肢がある。