ITmedia エンタープライズでも頻繁にニュースとして取り上げる「脆弱性」の情報。ソフトウェアに脆弱性があると、どんな影響があるのでしょうか。企業にとっては、この脆弱性が非常に深刻な脅威なのです。
前回、「企業はランサムウェアの攻撃に備えて何をすればいいか」では、ランサムウェアの最新の手口と被害状況、そして企業が取るべき対策について解説しました。第二回となる今回は、2017年初旬に発生したWebサイトへのサイバー攻撃事例をもとに、企業が知っておくべき、脆弱(ぜいじゃく)性を狙ったサイバー攻撃の脅威とその対策について解説します。
2017年1月から3月までの3カ月間で、企業のWebサイトをはじめとした、外部に公開されているサーバが攻撃を受けた事例は、40件以上が公表されています。単純計算すると、明らかになっているだけでもこうした被害事例は毎週のように発生していることになります。その中で、Webサイトの脆弱性が原因だったものは25件にものぼっており、脆弱性を狙ったサイバー攻撃が、企業にとって深刻な脅威であることが分かります(表1)。
No. | 発覚/公表月 | 業種 | 被害種別 |
---|---|---|---|
1 | 1月 | 運輸・交通・インフラ | 情報漏えい |
2 | 1月 | 情報サービス・通信プロバイダ | 情報漏えい |
3 | 1月 | その他団体 | 情報漏えい |
4 | 2月 | 大学 | Web改ざん |
5 | 2月 | 学会 | Web改ざん |
6 | 2月 | 地方自治体 | Web改ざん |
7 | 2月 | 地方自治体 | Web改ざん |
8 | 2月 | 医療機関 | Web改ざん |
9 | 2月 | 地方物産協会 | Web改ざん |
10 | 2月 | 個人ホームページ | Web改ざん |
11 | 2月 | 地方自治体 | Web改ざん |
12 | 2月 | 地方自治体 | Web改ざん |
13 | 2月 | 地方自治体 | Web改ざん |
14 | 2月 | 地方複数事業者 | Web改ざん |
15 | 2月 | サービス | 情報漏えい |
16 | 2月 | 卸・小売 | 情報漏えい |
17 | 3月 | ITサービス | 情報漏えい |
18 | 3月 | 独立行政法人 | 情報漏えい |
19 | 3月 | 運輸・交通・インフラ | 情報漏えい |
20 | 3月 | 卸・小売 | 情報漏えい |
21 | 3月 | 運輸・交通・インフラ | Web改ざん・情報漏えい |
22 | 3月 | 卸・小売 | 情報漏えい |
23 | 3月 | 出版・放送・印刷 | 情報漏えい |
24 | 3月 | 地方自治体 | 踏み台 |
25 | 3月 | 卸・小売り | 情報漏えい |
※2017年1月から3月までに報道された事例をトレンドマイクロで独自に整理 |
2月〜3月には、Web改ざんや情報漏えいの事例が立て続けに発生していますが、これはWebサイトで用いられるソフトウェアで深刻な脆弱性が発覚したことが要因の1つです。脆弱性の内容にもよりますが、深刻な脆弱性の発覚後には、その脆弱性を悪用した攻撃ツールが即座に公開されてWebサイトが攻撃を受けるケースが発生します。
また、特定のソフトウェアで深刻な脆弱性が発覚した場合には、過去にそのソフトウェアの脆弱性で被害に遭ったことがある企業は特に注意が必要です。過去に自社の被害が公になっている場合には、その情報をもとにサイバー犯罪者が同じソフトウェアを狙って攻撃を仕掛けてくることも推測されます。
2017年2月〜3月に発生した一連のWebサイトを狙ったサイバー攻撃は、それぞれWordPress、Apache Struts2といったWebサイト上で使用されるソフトウェアで発覚した深刻な脆弱性が原因となっています。
WordPressは、世界中で幅広く活用されている、オープンソースのコンテンツ管理システム(Content Management System、CMS)です。WordPressには、さまざまな機能を拡張するプラグインツールが提供されていて、非常に便利である反面、過去には数多くの脆弱性が見つかっています。
2月には、このWordPressのREST APIの機能に、深刻な脆弱性(CVE-2017-1001000)が発覚しました。この脆弱性は悪用が容易だったこと、そして脆弱性の詳細が公表されたタイミングとほぼ同日に攻撃コードがネット上に公開されたことから、世界中で多数のWebサイトが改ざんされる事態が発生しました。全世界で総計150万ページ、3万9000の固有ドメインが改ざんの被害に遭い、20のハッキンググループの活動で約80万件の攻撃が確認されたとも報じられています。REST APIはWordPressのバージョン4.7から標準で使えるようになった機能で、4.7.0、4.7.1がこの脆弱性の影響を受けました。
Apache Struts2はWebサイト等の構築時に開発者が利用するJava Webアプリケーションフレームワークで、WordPress同様に広く活用されているツールの1つです。3月に、このApache Struts2にリモートでコードが実行される深刻な脆弱性(CVE-2017-5638)が発覚しました。Apache Struts 2.3.5 – 2.3.31およびApache Struts 2.5 – 2.5.10のバージョンがこの脆弱性の影響を受けました。
この脆弱性の影響で、国内でもカード決済サービスの提供を行う企業からカード情報を含む大規模な個人情報が漏えいしました。また、独立行政法人、郵便事業者、地方電力会社が同様の被害に遭ったことが公になっています。
また、2014年に世界中で話題となったOpenSSLの脆弱性(通称「Heartbleed」)が、2017年に入ってからも狙われ、情報漏えいの被害事例が報道されました。今回のように深刻な脆弱性が発覚したタイミングだけでなく、数年前に発覚している脆弱性を狙ったサイバー攻撃も常日頃から発生しています。
Copyright © ITmedia, Inc. All Rights Reserved.