先頃、消費者調査機関のEquifaxが、約1億4300万人の米国の消費者に影響を及ぼす可能性のある、大規模なサイバーセキュリティインシデントがあったことを明らかにしました。このようなことは、絶対にあってはならないことでした。しかし、それが起こったとEquifaxが発表しました。
今年の5月中頃から7月末まで、犯罪者たちは、ウェブサイトアプリケーションの脆弱性を突き、Equifaxのファイルにアクセスしました。Equifaxが明らかにしたところによると、脆弱性を突かれたのは、Webアプリケーション制作用のフリーオープンソースフレームワーク、Apache Strutsでした。
Apache Strutsは、教育や行政、金融サービス、小売り、メディアといった業界の企業Webサイトを構築する目的で、多くのFortune100企業が使用しています。
3月にEquifaxへの最初の侵入があったとき、Apache Strutsの脆弱性に対するパッチが提供されたものの、オープンソースの既知の、修復可能な脆弱性についてはなんの対応もとられなかったのは、残念ではありますが、驚きでもなんでもありませんでした。
パッチの提供から6か月も経ち、いまだ脆弱性が攻撃可能だったことが、なぜ驚きでもなんでもないのかという理由を説明しましょう。
Apache Strutsのようなオープンソースソフトウエアの80%から90%は最新のアプリケーションで使用されているコードで構成されていますが、ほとんどの企業・組織が使用しているオープンソースについてはあまり可視化されていません。オープンソースの既知の脆弱性に対するパッチやフィックスがあるときでも、ほとんどの企業には、オープンソースを自動的に識別および監視するプロセスが導入されていません。
そのため、それら企業は脆弱性の存在するオープンソースコンポーネントを使用していること、あるいはそれらの修復が可能であることを、知らずにいることがよくあります。
どちらの場合であるかにかかわらず、「100の治療より1の予防」というベンジャミン・フランクリンの昔からの忠告を守っていない企業があまりに多いのが現状です。Equifaxの例でも見られるように、これら企業のそのような姿勢は、自社および顧客を大きなリスクにさらしています。
もっとも、Apache Strutsの脆弱性が突かれたケースは、3月に最初に報告された、Equifaxへの侵入だけではなかったのです……。
3月には、日本の決済処理サービスプロバイダーのGMOペイメントゲートウェイ株式会社で、個人データの漏洩があり、同社の顧客である東京都と住宅金融支援機構のWebサイトにその影響が及びました。
3月9日に検知されたこの問題により、61万4629件の電子メールアドレスと6万1661枚のクレジットカードの番号と有効期限も漏洩しました。GMOペイメントゲートウェイは、発見されたApache Strutsのセキュリティ脆弱性についてのアラートを発し、3月9日時点で漏洩した可能性のある情報についての調査を開始したと発表しました。GMOペイメントゲートウェイは不正アクセスの痕跡の発見後、Apache Strutsを作動させているすべてのシステムを停止させました。GMOペイメントゲートウェイによれば、翌日には、影響を受けたシステムにパッチが適用されました。
(Black Duck Software CEO ルー・シップリー)
オートメーション新聞は、1976年の発行開始以来、45年超にわたって製造業界で働く人々を応援してきたものづくり業界専門メディアです。工場や製造現場、生産設備におけるFAや自動化、ロボットや制御技術・製品のトピックスを中心に、IoTやスマートファクトリー、製造業DX等に関する情報を発信しています。新聞とPDF電子版は月3回の発行、WEBとTwitterは随時更新しています。
