Struts2の脆弱性、いまだに見つかる本当の理由
ソフトウエアの脆弱性が悪用された実例として、Webアプリケーションフレームワーク「Struts2」の脆弱性について見ていこう。2017年3月9日に公開された「S2-045」というStruts2の脆弱性が原因で、2017年3月以降、多くの情報漏洩事件が起こっている。クレジットカード番号の流出で金銭被害が出た事例もある。Strut2ではこれまでも多くの脆弱性が報告されている▼。S2-045を含め、多くはリモートコード実行の脆弱性だ。
Struts2にリモートコード実行の脆弱性が多いのは、内部で「OGNL▼」というライブラリを利用しているためだ。OGNLは、Javaに似たコードをコンパイルなしで実行する。Struts2ではデータの処理にOGNLを多用している。このため、Struts2に脆弱性があると、例えば攻撃者がHTTPリクエストに埋め込んだ悪意のあるコードがOGNLによって実行されてしまう。
OGNLで実行されるコードを埋め込む「OGNLインジェクション」の例を示したのが下の図だ。2013年に報告された「S2-013」という脆弱性を悪用する攻撃コードである。攻撃者はHTTPリクエストのパラメーターの値にOGNLコードを埋め込む。すると、OGNLがパラメーターを処理する際にコードが実行されてしまう。
実際のOGNLコードの内容を見てみよう。URLエンコード▼をデコードし、見やすいように整形したコードを示した。最初の3行で、コードを実行できるようにするため権限を変更している。OGNLインジェクションでよく見られる特徴的なコードだ。続いて、攻撃者が実行したい処理▼を記述する。
情報処理推進機構(IPA)は「Apache Struts2 の脆弱性対策情報一覧」(https://www.ipa.go.jp/security/announce/struts2_list.html)というWebページにStruts2の脆弱性をまとめている。
Object Graph Navigation Languageの略。
URLでは使えない文字を使う際に行われるエンコード。正確にはパーセントエンコーディングと呼び、RFC3986のSection 2.1で定義されている。
ここではサンプルとして「hacked」という文字列を出力している。
あなたにお薦め
今日のピックアップ
増え続けるデジタル予算、かすむ3割削減 試される松本デジタル相の手腕
VPN装置の脆弱性を突かれランサム被害に遭った関通、社長が語る侵害からの脱出劇
ワイヤレスでCarPlayやAndroid Auto、「Play2Video Ultra」の使い方
クックパッドの料理AIコーチングを自腹で試した、チャーハンの腕前いかに
なぜ御社のAI人材採用は進まないのか、知っておきたい「求人票のべからず」
アクセンチュアが地銀勘定系に本格参入か、「リライト」で技術負債解消
アームが半導体「メーカー」に転身か、クアルコムとの泥仕合係争で判明
無線LAN部門 シスコシステムズが中規模以上で強さ、Wi-Fi 7は様子見続く
第一フロンティア生命、再委託先が使用するツールから情報流出
韓国科学技術院、量子コンピューターで新しいエネルギー材料の扉を開く
Nothing Headphone(1)を試して思い出した35年前の名著
防犯や見守りにネットワークカメラ、関連グッズでドアの開閉や室温を通知
注目記事
おすすめのセミナー
ITリーダー養成180日実践塾 【第15期】
8回のセミナーでリーダーに求められる“コアスキル”を身につけ、180日間に渡り、講師のサポートの...
ITアーキテクト養成講座【第17期】
システム開発で一般的な「V字開発モデル」に沿って、上流工程から順を追ってITアーキテクトのタスク...
ITリーダー養成50日集中塾 【第21期】
ITの世界で活躍する女性がリーダーとしてさらに力を発揮できるようになるトレーニングプログラムです...
CIO養成講座 【第38期】
業種を問わず活用できる内容、また、幅広い年代・様々なキャリアを持つ男女ビジネスパーソンが参加し、...
コンサルスキル養成講座【第1期】
3日間の集中講義と演習によってAIで代替できない超上流工程のスキルを身に付け、コンサルタント/社...
「なぜなぜ分析」演習付きセミナー実践編
このセミナーでは「抜け・漏れ」と「論理的飛躍」の無い再発防止策を推進できる現場に必須の人材を育成...
生成AIとAIエージェントの導入&業務活用 実践講座
生成AIの基礎から応用までの講義と、ワークショップ「フレームワークを使った生成AIの自社活用アイ...
業務改革プロジェクトリーダー養成講座【第19期】
3日間の集中講義とワークショップで、事務改善と業務改革に必要な知識と手法が実践で即使えるノウハウ...
注目のイベント
日経BP 建設未来プロジェクト
2025年10月29日(水) 10:00~17:30
【10月30日】製造業の新規事業創出と構造改革を同時に実現するには? 現場と経営が一体で進める具体的な実践法
10月30日(木)
【11月11日】2025年10月に育児・介護休業法改正が施行、テレワークやペーパーレス化など環境整備が急務に
11月11日(火)
【11月12日】無限の可能性を引き出す「API」、AIエージェント同士がつながる未来を体験
11月12日(水)
IIFES 2025
2025年11月19日(水)-21日(金) 10:00~17:00
【11月21日】経理・財務を取り巻く環境は急速に変化、法改正・AIの進展・働き方の多様化でどう変わる?
2025年11月21日(金)
【11月28日】AIを活用したソフトウエア開発が急拡大、顕在化してきた重大リスクをどう回避するか
11月28日(金)
WOMAN EXPO 2025 Winter
2025年11月29日(土)10:00~17:30
スタンフォード式 生成AI BootCamp
2025年12月9日(火)~11日(木) ※ 事前学習(メール) 11月25日(火)~12月8日(月)、フィードバックデイ 12月19日(金)
おすすめの書籍
AIバブルの不都合な真実
AI幻想を見抜き、バブル崩壊後に勝ち残るAI導入・活用戦略を示します。
ランサムウエア攻撃との戦い方 セキュリティー担当者になったら読む本
攻撃の現状や手口、国内事例、対応方法、対策、歴史を徹底解説。本書を読めばランサムウエア攻撃を深く...
データマネジメント 仕組みづくりの教科書
AIの本格活用に不可欠なデータマネジメント。全社で取り組み各現場に定着させるにはどうすべきか。導...
さわって習得 Azure基礎からのインフラ構築
クラウドが普及拡大する中でより豊かな未来を創る礎としてAzureの基礎知識と実務的な操作方法・活...
ラズパイマガジン2025年秋号
ラズパイ電子工作で生成AIをどう使う?外部グラボをラズパイ5に接続して動かす!電子工作に活用する...
日経テクノロジー展望2026 未来をつくる100の技術
日経の専門誌編集長とラボ所長の約50人が、期待の技術を厳選して選出。2030年に向けた、期待のテ...
日経BOOKプラスの新着記事
「あくまで新入社員のようなもの」LLMの持つ5つの限界
ラフカディオ・ハーン『日本の面影』 「日本人の微笑」の誤解を解く
「量子コンピュータ」はなぜ革新的なのか? 基本を正しく知る3冊
市川類・一橋大教授が解説 日本を「健全なAI社会」にするために必読の1冊
「PayPay」命名は地獄のプロセス 候補に挙がった別案とは
AIバブル崩壊は想定内か、投資家やビッグテックの動向
賃金か満足度か 丸井は「主観的ウェルビーイング」を経営の指標に
LLMは「もの知りでタフで賢く、仕事も速い」社員となりうる
エース社員が“特権”を求めてきたら? 組織の旧弊を見直す好機とすべし
はじめに:『ポスト非伝統的金融政策 検証 日本銀行』
日経クロステック Special
What's New
経営
クラウド
アプリケーション/DB/ミドルウエア
運用管理
設計/開発
サーバー/ストレージ
クライアント/OA機器
ネットワーク/通信サービス
セキュリティ
