読者です 読者をやめる 読者になる 読者になる

情報処理 セキュリティブログ

情報処理系の話、セキュリティの話など書いていきます。

2017年3月に発生したApache Struts 2で稼働していたとみられるWebサイトへの不正アクセスについてまとめてみた - piyolog

http://d.hatena.ne.jp/Kango/touch/20170311/1489253880
2017年3月に発生したApache Struts 2で稼働していたとみられるWebサイトへの不正アクセスについてまとめてみた - piyolog

 

展開しておきます。

被害をまとめているサイトです。

 

どこの会社も同じだと思いますが、

サービス停止を伴うバージョンアップには反対するとこが多いです。

 

自社の利益のほうが大切ですから。

G社の67万件全てに500円(よくある数字)を補填したとしたら、3億3500万円の損失ですね。

 

サービス停止の損失よりは大きいと思うのです。

こういう判断ができる人がいないのよね。

 

struts2脆弱性が発表されたタイミングで、

  1. 委員会設置
  2. リスク棚卸
  3. 対応検討

までやった会社があれば転職したいくらいです(笑)

 

テスト自動化が出来ているところでは、

冗長化してなくても、短期間のシステム停止対応できると思いますが。。。

 

現実はそうはいかないですよね。

 

サイバー攻撃から完全に守ることは、もう無理だと思うので。

漏れても被害が無いような環境構築がベストだと思います。(理想論で申し訳ありません)

 

ちなみにですが、

struts1には該当のコードがないとのことで今回の脆弱性には関係ないとのことです。

 

とはいってもサポート終了しているのて、

脆弱性やバグが内包されていても調査すらされないので気をつけましょう。