検索
連載

「Anonymousがあの組織に攻撃宣言」「俺たちが善玉ハッカーだ」――11月のセキュリティクラスターを振り返るセキュリティクラスター まとめのまとめ 2015年11月版(3/3 ページ)

2015年11月はAnonymousによるISへの「攻撃宣言」が大きな話題となりました。そして、「ハッカー」の呼称に関する議論がまたしても……。

Share
Tweet
LINE
Hatena
前のページへ |       

「Apache Commons Collections」の脆弱性で大騒ぎ

 さらに11月には、Javaのライブラリである「Apache Commons Collections」に任意のコードを実行できる大きな脆弱性が見つかり、多くの注目を集めました。11月は、この対応に追われた人も多かったかもしれません。

 なぜ一つのライブラリの脆弱性がここまで大きな騒ぎを呼んだのかというと、このライブラリがJavaを使ったWebサイト開発でよく用いられる「WebLogic」「WebSphere」「JBoss」「Jenkins」「OpenNMS」などの多くのミドルウエアで使用されているからです。

 しかも、各ミドルウエアに向けた攻撃の実証コードがすでに公開されていたため、該当のミドルウエアを使用していたWebサイトの関係者は、直ちに対応する必要がありました。

 実は、これらの情報は2015年1月には公開されていたようなのですが、その時点では特に注目されず、11月に入ってから、偶然誰かが見つけたというのが実態のようです。

 この脆弱性は、「デシリアライズ」という機能の実装に起因するものですが、「問題の根本はどこにあるのか」という点が議論の対象になりました。「ユーザー入力をチェックせずにシリアライズするライブラリの実装に問題がある」という意見があった一方で、「Java APIのデシリアライズ機構自体に問題がある」とする意見もありました。

 また、ユーザー入力をどのようにシリアライズ/デシリアライズするべきかというテーマに関して、盛んに意見が交換されました。

 さらに、過去にPerlやPHPなどの別言語でも同様の問題が起こっていたことについて言及するツイートもありました。


 この他にも、2015年11月のセキュリティクラスターは以下のような話題で盛り上がっていました。12月はどのようなことが起きるのでしょうね。

  • セキュリティカンファレンス「AVTOKYO2015」開催される
  • DDoS攻撃で情報を盗む?
  • 東京オリンピックに対する攻撃が早くも発生
  • LINEのバグバウンティの結果が発表される
  • 少年ハッカー団摘発
  • 日本でも「HackerOne」のようなバグバウンティサイトが開設されるらしい
  • スマートフォンの暗証番号を「8376」にすると運気が上がるという本が出版される
  • DellのPCに不審なルート証明書がインストールされていることが発覚
「セキュリティクラスター まとめのまとめ」バックナンバー

著者プロフィール

山本洋介山

bogus.jp

猫と一緒に自宅の警備をする傍ら、「twitterセキュリティネタまとめ」というブログを日々更新しているtwitterウォッチャー。セキュリティやネットワークに関する原稿も書いています。


Copyright © ITmedia, Inc. All Rights Reserved.

前のページへ |       

Security & Trust 記事ランキング

  1. 米国/英国政府が勧告する25の脆弱性、活発に悪用されている9件のCVEとは、その対処法は? GreyNoise Intelligence調査
  2. セキュリティ担当者の54%が「脅威検知ツールのせいで仕事が増える」と回答、懸念の正体とは? Vectra AI調査
  3. OpenAIの生成AIを悪用していた脅威アクターとは? OpenAIが脅威レポートの最新版を公開
  4. インサイダーが原因の情報漏えいを経験した国内企業が約3割の今、対策における「責任の所在」の誤解とは
  5. 英国政府機関が取締役にサイバーリスクを「明確に伝える」ヒントを紹介
  6. 約9割の経営層が「ランサムウェアは危ない」と認識、だが約4割は「問題解決は自分の役割ではない」と考えている Vade調査
  7. セキュリティ専門家も「何かがおかしいけれど、攻撃とは言い切れない」と判断に迷う現象が急増 EGセキュアソリューションズ
  8. 「Amazonプライム感謝祭」に関するフィッシング攻撃を確認、注意すべき7つのポイントとは チェック・ポイント・ソフトウェア・テクノロジーズ
  9. 人命を盾にする医療機関へのランサムウェア攻撃、身代金の平均支払額や損失額は? 主な手口と有効な対策とは? Microsoftがレポート
  10. MicrosoftがAD認証情報を盗むサイバー攻撃「Kerberoasting」を警告 検知/防御方法は?
ページトップに戻る