[SB]TOM`S iPhone7/6s対応本革手帳型ケース 36 TOM-P7B2OR 48V 手帳型スマホケース KYL23ケースカバー豪華スワロフスキーデコ電VIVIPEARL-LUX-Miraie

Apache Struts2の脆弱性を突く攻撃が相次ぐ

     

Webアプリケーションフレームワークの「Apache Struts2」の脆弱性を突いた不正アクセスやWebサイト改ざんなどのが相次いで発生しています。
「Apache Struts2」の脆弱性による危険性はIPA(情報処理推進機構)やJPCERT/CC(一般社団法人JPCERTコーディネーションセンター)などから3月8日に既に注意喚起が行われていました。

セキュリティベンダー大手のラックによると、3月7日から「Apache Struts2」脆弱性に対する攻撃が増加しており、3月9日だけで攻撃や重要インシデントが10件超発生したとのこと。

攻撃手法は、ウェブサイトへのバックドアの設置やIPS/IDSによる検知回避を狙ったSSL・TLS暗号化通信を介しての攻撃が観測されています。

また

  • SIMフリーシムフリーアンロック LG G2 D801 Unlocked Cellphone, 32GB, Black
  • ◆お買得◆メーカー保証切れ【※SIMフリー】※〇判定 ◆新品未使用◆Y!mobile版 Nexus 5 32GB(LG-821) [ブラック]☆白ロム,ELECOM(エレコム) タブレット用防水・防塵ケース(ブラック) Lサイズ TB-04WPSBK
  • 【APPLE アップル ipad mini 4 専用 手帳型スマホケース 横開き デコ カラフル 星屑(DB521W02)】[返品・交換・キャンセル不可]
  • エレコム iPad Air 2用ソフトレザーカバー(2アングルタイプ) TB-A14PLF1BU※他の商品と同梱不可
  • [SB]TOM`S iPhone7/6s対応本革手帳型ケース 36 TOM-P7B2OR
  • 【iPad Pro ケース】 GAZE マットパイソンクラッチ 【1点】MyC『FS』
  • サンワサプライ iPadPro衝撃吸収ケースブルー PDA-IPAD85BL 【RCP】【AS】送料込みで販売!
  • JAWBONEより強いヤツはこれだ!【送料無料】BlueAnt Q3 ノイズキャンセリングVoice Control Bluetoothヘッドセット ブラック
  • Xperia acro SO-02Cケースカバー 豪華スワロフスキーデコ電ARMY-LUX-ACRO,Apple Watch メタルバンド 38mm/42mm【AppleWATCH用ステンレスメタルバンド】アップルウォッチ 10p 松平DS
  • レビュー投稿で次回使える2000円クーポン全員にプレゼント 直送 (業務用30セット) CASIO カシオ ネームランド用ラベルテープ 【幅:24mm】 XR-24ARD 赤に白文字 生活用品・インテリア・雑貨 文具・オフィス用品 ラベルシール・プリンタ
  • 日本正規代理店品 Layblock iPhone6s/6 レザーケース 本革 Flip Easy Diary モカブラウン ダイアリータイプ LB6656iP6S
  • [SB]TOM`S iPhone7/6s対応本革手帳型ケース 36 TOM-P7B2OR
  • HUKUROiPhone7 Plus 手帳型ケース 栃木レザー (左手持ち, オレンジ)
  • エムエムシックス メゾンマルジェラ (MM6 MAISON MARTIN MARGIELA) iPhone6・6S用ケース ロゴ ラベンダーs41um0008375 2016AW レディース秋冬新作 送料無料 正規取扱
  • 【Galaxy S5】全9色 手帳型 鏡付き PUレザー 横向き 二つ折り カード収納 可愛い 花 猫 鳥 少女 保護カバー 【5点】soga
  • ARROWS NX F-01Fケースカバー豪華スワロフスキーデコ電QUEEN-LUX-F01F,Piel Frama iMagnum レザーケース for iPhone 5c
  • 【バンカーリング】落下防止リング ハート型 可愛い 女子力 リングホルダー スタンド 360°回転 指輪型 【5点】soga
  • 【HUAWEI Mate8 SIMフリー 専用 手帳型スマホケース 横開き 本革スナップボタン一体型デザイン アイアンブルー(LW129UNT)】[返品・交換・キャンセル不可]
  • (まとめ) カシオ CASIO ネームランド NAME LAND 強粘着テープ 18mm×5.5m 透明/黒文字 XR-18GX 1個 【×4セット】
  • (まとめ) キングジム テプラ PRO テープカートリッジ キレイにはがせるラベル 12mm 赤/黒文字 SC12RE 1個 【×5セット】,ヘックス レディース PC&モバイルギアケース アクセサリー HEX Icon iPhone 7 Case & Wallet Camo Leather
  • 【Google Nexus 6P 専用 手帳型スマホケース 横開き 本革スナップボタン一体型デザイン ベーシック 固めの革(LW189UNT)】[返品・交換・キャンセル不可]
  • 、、今回の攻撃の特徴の一つとして、URLへ攻撃コードを埋め込むのではなく、「Content-Type」というHTTPのヘッダーに挿入されることから、ログの取得設定にもよるが攻撃の痕跡がログに残らない可能性も指摘されています。

    <図1>インシデント通知推移(ラック掲載資料より引用)

    沖縄電力運営Webサイトへの攻撃

    3月15日、沖縄電力によると、同社が運営するWebサイト「停電情報公開サービス」が「Apache Struts2」の脆弱性を突かれ、第3者による不正アクセスによる情報漏洩、またはWebサイトの改ざんが発生しました。

    同サイトの希望者に停電情報を配信する「メール配信サービス」に登録している顧客情報6478件(メールアドレス、ニックネーム、、停電情報の配信希望地域)が情報流出した可能性が高いとのことです。

    ニッポン放送のWebサイトへも攻撃

    3月17日ニッポン放送は、同社が運営する音声ネット配信サービス「Radital(ラジタル)」のWebサイトが不正アクセスを受け、サイトの改ざんと個人情報が流出したとの発表を行いました。

    同社のサイトへの不正アクセスは、沖縄電力運営サイト同様に、「Apache Struts2」の脆弱性を利用したものでした。

    流出したとされる個人情報は、「Radital」の商品発送フォームから作成された 氏名・住所・電話番号・メールアドレス11,330件(2012年10月18日~2017年3月1日の期間の利用者)。

    「Radital」会員のメールアドレス・ニックネーム・生年月45,984件(2012年9月3日~2017年3月11日の期間の登録者)とされています。
    ※氏名・住所・電話番号・クレジットカード情報は含みません。

    さいごに

    「Apache Struts2」の脆弱性に関して注意喚起が行われている中で、脆弱性を利用した攻撃が相次いで発生しました。

    にあった中には、「Apache Struts2」の脆弱性について把握していながらも、対応協議中にに遭うケースなどもあったようです。

    なお、今回の件は公式サポートが終了した「Apache Struts 1」への影響は不明とのことです。

    影響を受けるバージョンは下記のバージョンです。

    • Apache Struts 2.3.5 から 2.3.31
    • Apache Struts 2.5 から 2.5.10

    開発元のApache Software財団の情報を確認し、 、、最新版に更新することで脆弱性を解消しておきましょう。

    高級品店で[SB]TOM`S iPhone7/6s対応本革手帳型ケース 36 TOM-P7B2OR 48V 手帳型スマホケース KYL23ケースカバー豪華スワロフスキーデコ電VIVIPEARL-LUX-Miraie

    情報セキュリティに関することならお気軽にご相談ください。

    お問い合わせはこちら

    {yahoojp} {artemis-jp.com} xt01-zzp02-gui-242