IPAなどの注意喚起情報では間に合わない~脆弱性を狙う攻撃とその対策(EGセキュアソリューションズ、ジェイピー・セキュア) | ScanNetSecurity
2024.06.18(火)

IPAなどの注意喚起情報では間に合わない~脆弱性を狙う攻撃とその対策(EGセキュアソリューションズ、ジェイピー・セキュア)

HASHコンサルティングとJP-Secureは、東京・新橋において「危険な脆弱性にいかに対処するか 実践的ウェブサイト防衛」をテーマとした無料セミナーを4月26日に開催した。

研修・セミナー・カンファレンス セミナー・イベント
PR
「丁寧な対策と高性能なWAFが有効」 EGセキュアソリューションズ株式会社 代表取締役 徳丸 浩 氏
「丁寧な対策と高性能なWAFが有効」 EGセキュアソリューションズ株式会社 代表取締役 徳丸 浩 氏 全 9 枚 拡大写真
EGセキュアソリューションズ株式会社(※)と株式会社ジェイピー・セキュア(JP-Secure)は、東京・新橋において「危険な脆弱性にいかに対処するか 実践的ウェブサイト防衛」をテーマとした無料セミナーを4月26日に開催した。(※EGセキュアソリューションズ株式会社は、旧商号であるHASHコンサルティング株式会社から2017年5月12日に商号変更された)

●十分に早くても間に合わない脆弱性対応

EGセキュアソリューションズの代表取締役である徳丸浩氏は、「脆弱性によるウェブサイト侵入の現状と今できる対応策」と題する講演を行った。徳丸氏は最近の重大な脆弱性を紹介し、その脆弱性を悪用する攻撃のほとんどがゼロデイ、あるいは公表の数時間後に発生しているとして「攻撃者は脆弱性情報の公表を待ち構えている」という現状を示した。

特に象徴的な事件として、徳丸氏はGMOペイメントゲートウェイのクレジットカード情報漏えい事件を取り上げた。この事件は「Apache Struts 2」の脆弱性(S2-045:CVE-2017-5638)を悪用されたものであるが、同社では3月8日午後にIPA、3月9日午前にJPCERT/CCが発表した同脆弱性の情報を受け、3月9日20時には対象となるシステムの洗い出しが完了、21時56分にはWAFによる対策を完了した。

しかし、同日23時53分に不正アクセスの痕跡を発見したため、Apache Struts 2が動作しているシステムを全て停止し、ネットワークに未接続だったバックアップシステムに切り替えた。翌10日2時には同社のシステムを利用する複数のサイトで不正にデータを取得された可能性が高いことを確認した。ところが、その後の調査によって、同脆弱性を悪用した不正アクセスは3月8日の早朝に発生していた。

この脆弱性は、3月6日夜にApacheがS2-045のアドバイザリを公開し、3月7日夜に修正バージョンがreleaseに移されている。つまりサイバー攻撃者はApacheの公開情報をいち早く把握し、素早くエクスプロイトを作成、日本のIPAやJPCERT/CCの注意喚起情報の発表より前に不正アクセスを実施していた。

  1. 1
  2. 2
  3. 3
  4. 続きを読む

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 約 30 名の学生がフィッシング被害に ~ 明治薬科大学教員の M365 アカウントに不正アクセス

    約 30 名の学生がフィッシング被害に ~ 明治薬科大学教員の M365 アカウントに不正アクセス

  2. グリコの基幹システム障害、一部商品出荷を 6 / 25 以降再開

    グリコの基幹システム障害、一部商品出荷を 6 / 25 以降再開

  3. イセトーにランサムウェア攻撃、阿波銀行・藤沢市・茅ヶ崎市にも影響

    イセトーにランサムウェア攻撃、阿波銀行・藤沢市・茅ヶ崎市にも影響

  4. オイレス工業にランサムウェア攻撃、生産活動に影響なし 出荷通常通り

    オイレス工業にランサムウェア攻撃、生産活動に影響なし 出荷通常通り

  5. 役に立たないメール訓練 もうやめません? by Googleセキュリティ担当者

    役に立たないメール訓練 もうやめません? by Googleセキュリティ担当者

  6. ニデックインスツルメンツにランサムウェア攻撃、複数のサーバ内ファイルが暗号化被害

    ニデックインスツルメンツにランサムウェア攻撃、複数のサーバ内ファイルが暗号化被害

  7. KADOKAWA グループ複数サイトで障害、サイバー攻撃の可能性

    KADOKAWA グループ複数サイトで障害、サイバー攻撃の可能性

  8. 米政府、病院 IT システムの自動パッチ適用ツールに 80 億円投入

    米政府、病院 IT システムの自動パッチ適用ツールに 80 億円投入

  9. 実在しないアドレスを使用 ~ 東京大学役員を装った迷惑メールに注意呼びかけ

    実在しないアドレスを使用 ~ 東京大学役員を装った迷惑メールに注意呼びかけ

  10. 日経BP従業員メールアカウントに不正アクセス、33名の個人情報流出の可能性

    日経BP従業員メールアカウントに不正アクセス、33名の個人情報流出の可能性

ランキングをもっと見る