IPAなどの注意喚起情報では間に合わない~脆弱性を狙う攻撃とその対策(EGセキュアソリューションズ、ジェイピー・セキュア) | ScanNetSecurity
2024.07.23(火)

IPAなどの注意喚起情報では間に合わない~脆弱性を狙う攻撃とその対策(EGセキュアソリューションズ、ジェイピー・セキュア)

HASHコンサルティングとJP-Secureは、東京・新橋において「危険な脆弱性にいかに対処するか 実践的ウェブサイト防衛」をテーマとした無料セミナーを4月26日に開催した。

研修・セミナー・カンファレンス セミナー・イベント
PR
「丁寧な対策と高性能なWAFが有効」 EGセキュアソリューションズ株式会社 代表取締役 徳丸 浩 氏
「丁寧な対策と高性能なWAFが有効」 EGセキュアソリューションズ株式会社 代表取締役 徳丸 浩 氏 全 9 枚 拡大写真
EGセキュアソリューションズ株式会社(※)と株式会社ジェイピー・セキュア(JP-Secure)は、東京・新橋において「危険な脆弱性にいかに対処するか 実践的ウェブサイト防衛」をテーマとした無料セミナーを4月26日に開催した。(※EGセキュアソリューションズ株式会社は、旧商号であるHASHコンサルティング株式会社から2017年5月12日に商号変更された)

●十分に早くても間に合わない脆弱性対応

EGセキュアソリューションズの代表取締役である徳丸浩氏は、「脆弱性によるウェブサイト侵入の現状と今できる対応策」と題する講演を行った。徳丸氏は最近の重大な脆弱性を紹介し、その脆弱性を悪用する攻撃のほとんどがゼロデイ、あるいは公表の数時間後に発生しているとして「攻撃者は脆弱性情報の公表を待ち構えている」という現状を示した。

特に象徴的な事件として、徳丸氏はGMOペイメントゲートウェイのクレジットカード情報漏えい事件を取り上げた。この事件は「Apache Struts 2」の脆弱性(S2-045:CVE-2017-5638)を悪用されたものであるが、同社では3月8日午後にIPA、3月9日午前にJPCERT/CCが発表した同脆弱性の情報を受け、3月9日20時には対象となるシステムの洗い出しが完了、21時56分にはWAFによる対策を完了した。

しかし、同日23時53分に不正アクセスの痕跡を発見したため、Apache Struts 2が動作しているシステムを全て停止し、ネットワークに未接続だったバックアップシステムに切り替えた。翌10日2時には同社のシステムを利用する複数のサイトで不正にデータを取得された可能性が高いことを確認した。ところが、その後の調査によって、同脆弱性を悪用した不正アクセスは3月8日の早朝に発生していた。

この脆弱性は、3月6日夜にApacheがS2-045のアドバイザリを公開し、3月7日夜に修正バージョンがreleaseに移されている。つまりサイバー攻撃者はApacheの公開情報をいち早く把握し、素早くエクスプロイトを作成、日本のIPAやJPCERT/CCの注意喚起情報の発表より前に不正アクセスを実施していた。

  1. 1
  2. 2
  3. 3
  4. 続きを読む

《吉澤 亨史( Kouji Yoshizawa )》

この記事の写真

/

特集

関連記事

PageTop

アクセスランキング

  1. ランサムウェア集団が謝罪

    ランサムウェア集団が謝罪

  2. 富士通の複数の業務パソコンに高度な手法で攻撃を行うマルウェア、複製指示のコマンドを実行し拡大

    富士通の複数の業務パソコンに高度な手法で攻撃を行うマルウェア、複製指示のコマンドを実行し拡大

  3. 国際手配のランサム犯 逮捕されずに世界中を旅行

    国際手配のランサム犯 逮捕されずに世界中を旅行

  4. イセトーへのランサムウェア攻撃で日本生命保険の個人情報が漏えい

    イセトーへのランサムウェア攻撃で日本生命保険の個人情報が漏えい

  5. 世界規模の障害発生 ~ CrowdStrike CEO ジョージ・カーツ 公式コメント

    世界規模の障害発生 ~ CrowdStrike CEO ジョージ・カーツ 公式コメント

ランキングをもっと見る
PageTop