• Data Privacy Day Japan

DPD コラム

継続可能な事業モデルの実現とサイバー攻撃対策の両立、企業での対策は?

昨年チケット販売の”ぴあ“や、JETRO、GMOペイメントゲートウェイ、日本郵政でもその脆弱性を突かれ、個人情報が漏えいしたApache Struts2に、またもや脆弱性(CVE-2018-11776)が発見された。
 
今回は既に、その脆弱性を悪用して企業サーバーにコインマイナーが設置されるという被害が出ている。
 
Apache Struts2はApacheソフトウェア財団が開発したオープンソースのJava Webアプリケーションフレームワークであるが、オープンソースであること、また優れたアプリケーションフレームワークであることから、世界中の企業サーバーで広く利用されているが、その分攻撃者の標的になりやすい傾向がある。
 
Apacheソフトウェア財団はこの脆弱性に対して既に対応しており、パッチを当てることで対策はできるが、話はそう簡単ではない。
 
技術者目線ではシステムにパッチを当てることを躊躇する理由がある。
それは、
「パッチを当てることによって、自社や顧客のシステムが不具合を起こさないか?」
というものである。
 
この心配があるために、パッチを当てた場合のシステムへの影響調査などを行ってからパッチを当てる必要が出てきて、ユーザー側で行うパッチの適用(対策の完了)までの時間が長引くのだ。
 
しかし対策が長引けば危険は高まる
米Googleは、脆弱性を発見してから90日(条件付で+14日)以内にメーカーによる修正パッチが出なければ脆弱性情報を公開するとしているし、メーカーが対応を完了(パッチの公開)した後は即日(最長7日以内)に脆弱性を公開しているのだ。
 
これに関して業界では
「対策を行える期間が短すぎる

「修正後の公開が早すぎてユーザーを危険にさらしている
との批判もある。
 
こういった事情もあって技術者は頭を悩ませることになるが、大切なのは企業や顧客の情報だ。
 
企業には、常に最新の情報に対するアンテナを張り、脆弱性やインシデントに迅速に対応できるセキュリティマネージャーを設置し、技術者と連携してBCP(Business Continuity Planning)を重視したセキュリティ対策を行うことが望ましい。
 
参考:https://www.jpcert.or.jp/at/2018/at180036.html