IPAなどの注意喚起情報では間に合わない~脆弱性を狙う攻撃とその対策(EGセキュアソリューションズ、ジェイピー・セキュア)
HASHコンサルティングとJP-Secureは、東京・新橋において「危険な脆弱性にいかに対処するか 実践的ウェブサイト防衛」をテーマとした無料セミナーを4月26日に開催した。
研修・セミナー・カンファレンス
セミナー・イベント
PR
●十分に早くても間に合わない脆弱性対応
EGセキュアソリューションズの代表取締役である徳丸浩氏は、「脆弱性によるウェブサイト侵入の現状と今できる対応策」と題する講演を行った。徳丸氏は最近の重大な脆弱性を紹介し、その脆弱性を悪用する攻撃のほとんどがゼロデイ、あるいは公表の数時間後に発生しているとして「攻撃者は脆弱性情報の公表を待ち構えている」という現状を示した。
特に象徴的な事件として、徳丸氏はGMOペイメントゲートウェイのクレジットカード情報漏えい事件を取り上げた。この事件は「Apache Struts 2」の脆弱性(S2-045:CVE-2017-5638)を悪用されたものであるが、同社では3月8日午後にIPA、3月9日午前にJPCERT/CCが発表した同脆弱性の情報を受け、3月9日20時には対象となるシステムの洗い出しが完了、21時56分にはWAFによる対策を完了した。
しかし、同日23時53分に不正アクセスの痕跡を発見したため、Apache Struts 2が動作しているシステムを全て停止し、ネットワークに未接続だったバックアップシステムに切り替えた。翌10日2時には同社のシステムを利用する複数のサイトで不正にデータを取得された可能性が高いことを確認した。ところが、その後の調査によって、同脆弱性を悪用した不正アクセスは3月8日の早朝に発生していた。
この脆弱性は、3月6日夜にApacheがS2-045のアドバイザリを公開し、3月7日夜に修正バージョンがreleaseに移されている。つまりサイバー攻撃者はApacheの公開情報をいち早く把握し、素早くエクスプロイトを作成、日本のIPAやJPCERT/CCの注意喚起情報の発表より前に不正アクセスを実施していた。
関連記事
この記事の写真
/
