「Anonymousがあの組織に攻撃宣言」「俺たちが善玉ハッカーだ」――11月のセキュリティクラスターを振り返る:セキュリティクラスター まとめのまとめ 2015年11月版(3/3 ページ)
2015年11月はAnonymousによるISへの「攻撃宣言」が大きな話題となりました。そして、「ハッカー」の呼称に関する議論がまたしても……。
「Apache Commons Collections」の脆弱性で大騒ぎ
さらに11月には、Javaのライブラリである「Apache Commons Collections」に任意のコードを実行できる大きな脆弱性が見つかり、多くの注目を集めました。11月は、この対応に追われた人も多かったかもしれません。
なぜ一つのライブラリの脆弱性がここまで大きな騒ぎを呼んだのかというと、このライブラリがJavaを使ったWebサイト開発でよく用いられる「WebLogic」「WebSphere」「JBoss」「Jenkins」「OpenNMS」などの多くのミドルウエアで使用されているからです。
しかも、各ミドルウエアに向けた攻撃の実証コードがすでに公開されていたため、該当のミドルウエアを使用していたWebサイトの関係者は、直ちに対応する必要がありました。
実は、これらの情報は2015年1月には公開されていたようなのですが、その時点では特に注目されず、11月に入ってから、偶然誰かが見つけたというのが実態のようです。
この脆弱性は、「デシリアライズ」という機能の実装に起因するものですが、「問題の根本はどこにあるのか」という点が議論の対象になりました。「ユーザー入力をチェックせずにシリアライズするライブラリの実装に問題がある」という意見があった一方で、「Java APIのデシリアライズ機構自体に問題がある」とする意見もありました。
また、ユーザー入力をどのようにシリアライズ/デシリアライズするべきかというテーマに関して、盛んに意見が交換されました。
さらに、過去にPerlやPHPなどの別言語でも同様の問題が起こっていたことについて言及するツイートもありました。
この他にも、2015年11月のセキュリティクラスターは以下のような話題で盛り上がっていました。12月はどのようなことが起きるのでしょうね。
- セキュリティカンファレンス「AVTOKYO2015」開催される
- DDoS攻撃で情報を盗む?
- 東京オリンピックに対する攻撃が早くも発生
- LINEのバグバウンティの結果が発表される
- 少年ハッカー団摘発
- 日本でも「HackerOne」のようなバグバウンティサイトが開設されるらしい
- スマートフォンの暗証番号を「8376」にすると運気が上がるという本が出版される
- DellのPCに不審なルート証明書がインストールされていることが発覚
- 「Anonymousがあの組織に攻撃宣言」「俺たちが善玉ハッカーだ」――11月のセキュリティクラスターを振り返る
- 「4万人のボランティアが守る東京オリンピック」?――セキュリティクラスターの反応は
- サイバー攻撃から日本を守るのは、プロフェッショナルなトップガン
- 成長し続けるセキュリティ人材と悲嘆に暮れる情報流出被害者たち
- 技術ある17歳が牙をむく――私たちに何ができたのか
- 日本年金機構が標的型攻撃を受ける――これは対岸の火事ではない?
- 脆弱性に名前のあるなし関係なし、連休でも淡々と検証するセキュリティクラスター
- 名前はなくても危険、IISの脆弱性が注目を集める
- 日本のWebサイトがテロリストの攻撃対象になった――わけでもなさそう
- SSL通信の根本を揺るがす「SuperFish」問題をどう見るべきか
- 「GHOST」の正体見たり枯れ尾花? 名前には踊らされなかったセキュリティクラスター
- CODE BLUEにSECCONに、リアルが忙しかった12月
- まるでCTFみたい? 鮮やかに暴かれた「自称小学4年生」のサイト
- ちっともかわいくなかった、セキュリティ界の「POODLE」
- ShellShockに管理者はショック! パスワード定期変更の議論どころではない?
- 「www.atmarkit.co.jp.3s3s.org」は安全? 危険?
- ベネッセの情報漏えいがあぶり出してしまった、USBメモリ管理の穴
- LINEの盗聴疑惑にセキュリティクラスターはどう反応したか
- 急転直下の結末を迎えた遠隔操作ウイルス事件
- HeartbleedにStrutsにIE……脆弱性に振り回された1カ月
- 遠隔操作ウイルス事件でフォレンジックを考えた
- 終わらないパスワード議論と、広告に求められる誠実さと
- 安全なオンラインアップデートってどうすべきだろう?
著者プロフィール
山本洋介山
猫と一緒に自宅の警備をする傍ら、「twitterセキュリティネタまとめ」というブログを日々更新しているtwitterウォッチャー。セキュリティやネットワークに関する原稿も書いています。
Copyright © ITmedia, Inc. All Rights Reserved.