セキュリティエンジニアを目指す若者の4月：セキュリティクラスタ まとめのまとめ 2016年4月版（1/3 ページ）

2016年4月は、「Apache Struts2」の脆弱性や「OSコマンドインジェクション」を使った攻撃が騒ぎを呼ぶ一方で、突如「Yahoo!知恵袋」に注目が集まったのでした。

[山本洋介山（エヌ・ティ・ティ・コミュニケーションズ），＠IT]

連載目次

　2016年4月のセキュリティクラスタは、特に大きな事件もなく、公表が予告されていた脆弱（ぜいじゃく）性「Badlock」も大したものでなかったためホッとしていたところに、「Apache Struts2」の大きな脆弱性が突如公開され、大慌てとなりました。

　また、日本テレビをはじめとする複数のWebサイトに対して「OSコマンドインジェクション」という最近ではあまり見かけない脆弱性を用いた攻撃が行われ、多数の個人情報が盗まれました。

　さらには「Yahoo!知恵袋」に投稿された“セキュリティエンジニアを目指す高校生”からの質問に、セキュリティ界の“オールスター”が回答を行ったことが、Twitterで大きな話題になりました。

「Badlock」は“Sadlock”!? 一方「Struts2」にリモートコード実行の脆弱性が見つかる

　2016年3月28日、「Microsoft Windows」および「Samba」の認証機能に大きな脆弱性が存在するため、4月に修正が行われるという予告がなされました。「Badlock」と名付けられたこの脆弱性に対しては、近年公表された大きな脆弱性の例にならい、「badlock.org」という専用サイトとロゴが準備されていました。

　そんな“あおるだけあおった”「Badlock」の内容が、Microsoftのセキュリティアップデートが行われた4月12日に、満を持して公開されます。ところが、実際にはその中身は思いの外インパクトのないものでした。その結果「Sadlock」と“やゆ”されるなど、拍子抜けした様子のツイートが多く見られました。

　一方、ゴールデンウイーク直前の4月25日ごろから不穏な情報が流れ始めます。Web アプリケーション構築フレームワーク「Apache Struts2」にリモートからのコード実行が可能な脆弱性があり、攻撃方法も公開されているというのです。Apache Struts2は日本の企業サイトで使用されていることも多く、2014年のゴールデンウイーク前に「Classloader」に関する脆弱性が見つかったときにも大騒ぎになったことは、記憶に新しいところです。

　攻撃方法は中国語で書かれていたのですが、言語はあまり関係なかったようで、「手元の環境で実行を確認した」というツイートや、「実際の攻撃を確認した」というツイートが行われていました。ただ、不幸中の幸いというべきか、攻撃を行うには最新バージョンではデフォルトで無効になっている「DMI（Dynamic Method Invocation）機能」が有効になっている必要があるようでした。

　また、連休直前の4月28日には日本にもこの脆弱性を狙った攻撃が行われ始めたとの情報が流れてきます。この脆弱性の対応で連休がなくなることを心配したツイートも見られました。