2017年3月に発生したApache Struts 2で稼働していたとみられるWebサイトへの不正アクセスについてまとめてみた - piyolog

展開しておきます。

被害をまとめているサイトです。

どこの会社も同じだと思いますが、

サービス停止を伴うバージョンアップには反対するとこが多いです。

自社の利益のほうが大切ですから。

G社の67万件全てに500円(よくある数字)を補填したとしたら、3億3500万円の損失ですね。

サービス停止の損失よりは大きいと思うのです。

こういう判断ができる人がいないのよね。

struts2の脆弱性が発表されたタイミングで、

までやった会社があれば転職したいくらいです（笑）

テスト自動化が出来ているところでは、

冗長化してなくても、短期間のシステム停止対応できると思いますが。。。

現実はそうはいかないですよね。

サイバー攻撃から完全に守ることは、もう無理だと思うので。

漏れても被害が無いような環境構築がベストだと思います。(理想論で申し訳ありません)

ちなみにですが、

struts1には該当のコードがないとのことで今回の脆弱性には関係ないとのことです。

とはいってもサポート終了しているのて、

脆弱性やバグが内包されていても調査すらされないので気をつけましょう。

情報処理　セキュリティブログ