Apache Struts2の脆弱性(S2-045,CVE-2017-5638) を突かれ、クレジットカード情報等72万件流出

f:id:mamepika:20170313151525j:plain

週末にびっくりするニュースが飛び込んできましたね。
都税と住宅金融支援機構のサイトからクレジットカード情報などが大量に流出しました。
itpro.nikkeibp.co.jp

3月8日にIPAが公開した、Apache Sturts2の脆弱性を突かれたようです。
www.ipa.go.jp

Sturts2の脆弱性

Struts2は2016年にも重大な脆弱性が報告され、ネットを騒がせました。

www.ipa.go.jp

この時に修正版を適用して良しとするのではなく、システム全体を改修すべきだったようです。
Java EEやSpringではこのようなことは起きていませんからね。

Struts2は何度も致命的な脆弱性を出しています。
そのたびにNGワードを追加することで対応してきたのですが、対応がお粗末です。

通常のサイトであれば、Struts2を使い続ける選択肢はあると思いますが、
クレジットカード情報など機微な情報を扱うサイトでは、去年の時点で移行をすべきだったように思います。

無くならないカード情報流出事件

去年起こった大きな事件としては以下の2点を挙げておきます。
www.itmedia.co.jp

[http://www.itmedia.co.jp/enterprise/articles/1612/02/news106.html:title=ニュース - 資生堂子会社で個人情報流出の疑い、最大42万件脆弱性突かれる：ITpro]

これらの事件を受けて、カード情報を扱う事業者に対してPCI DSSの取得を義務付ける流れになっており、
PCI DSSの取得が難しい事業者については、決済代行業者にカード情報を預けるように施策が進んでいたのですが、
決済代行業者による流出事故ということで、インパクトが大きいです。

Struts1.Xを使い続けるということ

今回、Struts2のみが対象となり、Struts1は無事だったので、Struts1なら大丈夫という間違った認識がありますが、
Sturts1は誰も公式にメンテナンスをしておらず、潜在的リスクはStruts2以上に存在します。

修正版適用までのスピード感

今回、脆弱性発表からわずか数日で大量のデータ流出が起きたことから、
修正版の適用にはスピードが求められます。
Sturts1は誰も公式にはパッチを作りませんので、Struts1を使っている会社がそれぞれパッチを作成、テスト、適用をしなくてはなりません。
クラッカーとの時間勝負の中で、これでは完全に負けてしまいます。

個人情報を扱うようなシステムの場合、Strutsからの早期の移行が必要になると思います。

脆弱性についての情報収集体制

3月8日にIPAから情報が発信されましたが、業者が実際に調査を開始したのは3月9日の18時以降となっています。
そして、その時点で既に攻撃を受けていたということですので、
決済代行業者には情報収集の体制強化が求められることになるでしょう。

PCI DSSについて

www.jcdsc.org

今回、流出した情報の中にセキュリティコードがありました。
PCI DSSではセキュリティコードの保存は禁止されていますので、PCIDSSに準拠していなかったということになります。

PCI DSS審査の信用失墜

PCI DSSはカード情報を扱う会社に取得が義務付けられています。
厳しい実地調査もあるのですが、セキュリティコードの保存をしていても認証を受けられてしまうということで審査に対して疑問符が打たれます。

PCI DSS認定事業者について

PCI DSSの審査の信用が失墜したことにより、PCI DSSに準拠しているというだけではユーザは安心できない状態になります。
業界全体で信用回復への取り組みが必要になるでしょう。

情報処理安全確保支援士の活用

個人情報を扱うシステムの開発・運用に情報処理安全確保支援士を必須とするといいと思います。
まさにこういった自体を防ぐために、資格が整備されたはずです。

対象者4万人と言われる中、初回登録申請者数が4000人強にとどまったのは
飴とムチのムチのみが規定された現状では仕方ないと思います。