デジタル・セキュリティが実際に問題になる時

先日、JavaによるWebアプリケーション・プラットフォームApache Struts 2の脆弱性に対する修正があり、あわせて実際の攻撃が多数観測されました。

www.ipa.go.jp

おそらく、この問題によると思われる事象が、国内でも多数発生しており、しかも明らかに実害が出ています。

togetter.com

iptops.com

nlab.itmedia.co.jp

Strutsは、過去にも脆弱性が何回も発見されています。

blog.trendmicro.co.jp

そもそも、Strutsは動的にコードを生成、実行する機能(OGNL等)があり、本質的に「不正な文字列の侵入」が「任意のコード実行」に直結しやすいという問題点が指摘されています。

www.scutum.jp

確かに動的なコード生成は強力で柔軟です。その場で任意の動作ができるので、(特に組織でありがちな)面倒を極力回避しつつ更新や変更、追加が可能なのは魅力的です。

ただ、その分だけ危険性は高まります。特にサーバ技術は(インターネット直結なので)何かあれば即座に攻撃を受けますし、特にJavaは基幹的なシステムで多く使われるため、「狙い目」です。

  • 開発や修正は手間取るが、脆弱性の影響を抑え込みやすい技術を使う
  • 運用(情報収集やバックアップ、パッチ適用)を緊密にして弱点を緩和
  • 事故ったら止めて後で対応、ただし背後への侵入は徹底防御

サイトの目的にあった対応をとってほしいと思わずにはいられません。