検索
連載

セキュリティエンジニアを目指す若者の4月セキュリティクラスタ まとめのまとめ 2016年4月版(1/3 ページ)

2016年4月は、「Apache Struts2」の脆弱性や「OSコマンドインジェクション」を使った攻撃が騒ぎを呼ぶ一方で、突如「Yahoo!知恵袋」に注目が集まったのでした。

Share
Tweet
LINE
Hatena
「セキュリティクラスタ まとめのまとめ」のインデックス

連載目次

 2016年4月のセキュリティクラスタは、特に大きな事件もなく、公表が予告されていた脆弱(ぜいじゃく)性「Badlock」も大したものでなかったためホッとしていたところに、「Apache Struts2」の大きな脆弱性が突如公開され、大慌てとなりました。

 また、日本テレビをはじめとする複数のWebサイトに対して「OSコマンドインジェクション」という最近ではあまり見かけない脆弱性を用いた攻撃が行われ、多数の個人情報が盗まれました。

 さらには「Yahoo!知恵袋」に投稿された“セキュリティエンジニアを目指す高校生”からの質問に、セキュリティ界の“オールスター”が回答を行ったことが、Twitterで大きな話題になりました。

「Badlock」は“Sadlock”!? 一方「Struts2」にリモートコード実行の脆弱性が見つかる

 2016年3月28日、「Microsoft Windows」および「Samba」の認証機能に大きな脆弱性が存在するため、4月に修正が行われるという予告がなされました。「Badlock」と名付けられたこの脆弱性に対しては、近年公表された大きな脆弱性の例にならい、「badlock.org」という専用サイトとロゴが準備されていました。

 そんな“あおるだけあおった”「Badlock」の内容が、Microsoftのセキュリティアップデートが行われた4月12日に、満を持して公開されます。ところが、実際にはその中身は思いの外インパクトのないものでした。その結果「Sadlock」と“やゆ”されるなど、拍子抜けした様子のツイートが多く見られました。

 一方、ゴールデンウイーク直前の4月25日ごろから不穏な情報が流れ始めます。Web アプリケーション構築フレームワーク「Apache Struts2」にリモートからのコード実行が可能な脆弱性があり、攻撃方法も公開されているというのです。Apache Struts2は日本の企業サイトで使用されていることも多く、2014年のゴールデンウイーク前に「Classloader」に関する脆弱性が見つかったときにも大騒ぎになったことは、記憶に新しいところです。

 攻撃方法は中国語で書かれていたのですが、言語はあまり関係なかったようで、「手元の環境で実行を確認した」というツイートや、「実際の攻撃を確認した」というツイートが行われていました。ただ、不幸中の幸いというべきか、攻撃を行うには最新バージョンではデフォルトで無効になっている「DMI(Dynamic Method Invocation)機能」が有効になっている必要があるようでした。

 また、連休直前の4月28日には日本にもこの脆弱性を狙った攻撃が行われ始めたとの情報が流れてきます。この脆弱性の対応で連休がなくなることを心配したツイートも見られました。

Copyright © ITmedia, Inc. All Rights Reserved.

       | 次のページへ

Security & Trust 記事ランキング

  1. Google、オープンソースのセキュリティパッチ検証ツール「Vanir」を公開 多種多様なAndroidデバイスの脆弱性対応を支援するアプローチとは
  2. 従業員は「最新のサイバー脅威との戦い」を強いられている セキュリティ教育に不満を持つ理由の1位は?
  3. 堅調なID管理や認証、脅威インテリジェンスなどを抑え、2024年上半期で最も成長したセキュリティ分野は?
  4. 日本人の約半数が「1年前より危険」と考えるオンライン詐欺とは マカフィーがホリデーショッピング詐欺に関して調査
  5. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  6. 「SQLite」のゼロデイ脆弱性、GoogleのAIエージェントが見つける AIは脆弱性調査の課題をどう解決したのか?
  7. 増える標的型ランサムウェア被害、現場支援から見えてきた実態と、脆弱性対応が「限界」の理由
  8. ランサムウェア攻撃を受けた企業、約6割が「サプライチェーンのパートナー経由で影響を受けた」 OpenText調査
  9. CISOが失敗を許容する組織を構築するために注目すべきは生成AIと何か? ガートナーが提言
  10. 「DX推進」がサイバー攻撃を増加させている? Akamaiがセキュリティレポートを公開
ページトップに戻る