NEWSニュース

「深刻化するStruts脆弱性対策にどう対処するか?」セミナー 徳丸浩氏ご登壇!

徳丸浩 氏 ご登壇!緊急セミナー
深刻化するStruts脆弱性にどう対処するか?

主催:株式会社スタイルズ
共催:HASHコンサルティング株式会社

本セミナーは終了いたしました。たくさんのご来場ありがとうございます。

講演資料をご希望される方は、スタイルズのお問い合わせページより「Struts脆弱性対策セミナー資料希望」の旨をご連絡ください。

後ほど担当者より資料をお送りさせていただきます。

Struts自動移行サービスについて
セミナー資料のご請求はこちら

深刻化するStruts脆弱性にどう対策するか?

JavaのWebアプリケーションフレームワーク「Apache Struts2」に任意のコードを実行できる脆弱性(S2-045、CVE-2017-5638)が見つかり、2017年3月20日時点で7組織が被害に遭っていることが報道されています。

情報漏洩した可能性のある個人情報は合計で79万4566件に上っています。

セキュリティ専門企業からは、この脆弱性を突く攻撃が広く横行していると伝えており、システムに脆弱性があるかどうかを探ろうとするコードや、Linuxファイアウォールを停止させ、マルウェアをダウンロードして実行させるコードなど、多数の事例が見つかっていると伝えています。

本セミナーでは、StrutsによるWebシステムの脆弱性の仕組みや実例をわかりやすく解説し、取り組むべき具体的な課題解決の手段や対策方法を事例を交え整理してお伝えいたします。

自動変換ツールを使う3つのメリットで脆弱性対策×工数削減

スタイルズでは、Struts1からSpringMVCの自動変換ツールをご提供し、移行コストの削減を図っています。このツールはコードを解析して、Struts1仕様のタグを、Spring/JSTL(Java Server Pages Standard Tag Library)のタグに自動変換します。

自動化でコスト削減

JSP・アクション・ホームといった比較的共通性のある部分の移行は自社開発の変換ツールにより自動的に行います。
これにより、開発工数を削減し、納期・コストの縮小につなげます。

要件定義はいらない

通常の移行作業では、システムの要件定義から始めるため、時間も工数も多くなりがちですが、現状のシステムをそのまま変換することで、変更の必要がない部分について無駄な要件定義をする必要がなくなります。

SpringMVC

SpringMVCはSpring開発当初からあるコンポーネントで、現在も活発に開発が行われています。最新のフレームワークのデファクトスタンダードとして、多くのシステムで使用されています。

「レガシーJAVAをリニューアル」に関するお問い合わせはこちら

基調講演者紹介

徳丸 浩(とくまる ひろし) 氏

1985年京セラ株式会社に入社後、ソフトウェアの開発、企画に従事。
1999年に携帯電話向け認証課金基盤の方式設計を担当したことをきっかけにWebアプリケーションのセキュリティに興味を持つ。
2004年同分野を事業化。
2008年独立して、Webアプリケーションセキュリティを専門分野とするHASHコンサルティング株式会社を設立。
2015年イー・ガーディアングループに参画。

脆弱性診断やコンサルティング業務のかたわら、ブログや勉強会などを通じてセキュリティの啓蒙活動をおこなっている。著書に、「徳丸浩のWebセキュリティ教室」(日経BP社)「体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践(ソフトバンククリエイティブ)」がある。

HASHコンサルティング株式会社代表、京セラコミュニケーションシステム株式会社技術顧問、独立行政法人情報処理推進機構(IPA)非常勤研究員。技術士(情報工学部門)。

徳丸浩の日記

Twitter IDは @ockeghem

Struts自動移行サービスについて
セミナー資料のご請求はこちら

Strutsの脆弱性の歴史と対策課題

10年以上前、Webシステム開発のデファクト・スタンダードは、Struts1でした。2013年4月にEOL(サポート切れ)を迎えましたが、多くのシステムがそのまま利用され続けているのが現状です。

サポート切れ後には、大きな話題となった「ClassLoader を操作可能な脆弱性」等、多くのセキュリティ上の弱点が指摘されてきました。

[2014年04月25日] ClassLoader を操作可能な脆弱性(CVE-2014-0094)

[2015年03月24日] 入力チェックをスルーできるValidator の脆弱性(CVE-2015-0899)

[2016年06月07日] メモリ上のコンポーネントを操作可能な脆弱性(CVE-2016-1181)

[2016年06月07日] 入力値検証に関する設定を変更可能な脆弱性(CVE-2016-1182)

その後、開発されるWebシステムにおいては、後継としてのStruts2、SpringMVC、JavaEE等のフレームワークが利用されてきましたが、Struts2は、2014年以降、何度も脆弱性の問題が発見され、2017年に入っては、「任意のコードを実行できる脆弱性(S2-045、CVE-2017-5638)」が見つかり、クレジットカード情報や個人情報の流出など、非常に深刻な被害が発生しています。

[2016年04月18日]Apache Struts における任意のコードを実行される脆弱性(JVNDB-2016-002075)

[2017年03月09日] Apache Struts 2 の脆弱性 (S2-045) に関する注意喚起<<< JPCERT/CC Alert 2017-03-09 >>>

Struts系フレームワークは、過去に多くの脆弱性の指摘を受けている歴史からいって、今後も問題が発生する可能性が大きいことも指摘されており、以下の理由から被害が甚大化する可能性もあります。

  • 過去に多くのRCEを提供してきた実績があり、完全に攻撃者が目を付ける侵入経路となっている
  • (WordPress等と比較して)大型で重要なWebシステムで使われているケースが多い
  • 日本国内においてはやや慎重なベンダーがシステムを運用しているケースが多く、バージョンアップが素早く行われない

そのため、Struts系フレームワークを採用している企業にとっては、可能な限り迅速に、根本的な対策を行なうことが急務と言えます。

その対策のために今回の緊急セミナーをご利用頂ければ幸いです。

プログラム

15:00 ~

受付開始

15:30~16:30

基調講演 『ウェブサイトの侵入を防ぐためにはどこまで対策するべきか ~Struts2の話題を中心に~ 』

HASHコンサルティング株式会社 代表
徳丸 浩 氏

内容:
ウェブサイトに対する侵入事件が跡を絶ちません。今年に入り、WordPressやStruts2に危険な脆弱性が相次いで発見され、多くのサイトが侵入を受け、深刻な被害が出ています。

脆弱性の発表から攻撃に至る間隔がますます短くなる中、ウェブサイトを守るために今何をすべきかについて講演いたします。

16:30~16:40

『セキュリティサービスのご紹介』

HASHコンサルティング株式会社 セキュリティエンジニア
岡本 早和子 氏

内容:
ウェブサイトのセキュリティを守る上で、脆弱性診断やその他のセキュリティサービスが普及してきましたが、各社の説明を見ると、非常に区別がつきにくい、何が違うのかと思われることが多いと予想します。

この講演では、HASHコンサルティングのセキュリティサービスの全体像をご説明した上で、差異化のポイントについてご説明します。

16:50~17:30

『StrutsからSpringへの自動コンバートサービスと事例紹介』

株式会社スタイルズ SIビジネスグループ リーダー
鈴木 健夫 氏

内容:
一時期、Webシステム開発フレームワークのデファクトスタンダードであったStrutsは、現在も広範囲に存在していると考えられます。

Struts2.xに対する脆弱性の中には、Struts1.xにも存在する脆弱性も少なくありません。企業は速やかにStruts1.xから他のフレームワークに移行する必要がありますが、再開発には多くの期間とコストがかかることも事実です。

本セッションでは、Struts1.xからSpringへ自動的にコンバートできるツールを活用して、コストを抑えながら移行する方法とその事例を解説します。

17:30~18:00

質問およびご相談会

※講演内容・プログラムは都合により一部変更させていただくことがございます。予めご了承ください。

会社紹介

株式会社スタイルズ

スタイルズは平成15年の設立以来、企業が円滑な事業を行うのに必要なITインフラの構築や、システム開発・保守、モバイルアプリやソフトウェアの開発などを手掛けてきたSI会社。

strutsのコンバートツールをはじめ、各種クラウドオープンソースの運用支援、開発サービスを提供しています。

https://www.stylez.co.jp/

HASHコンサルティング株式会社

HASHコンサルティングでは、脆弱性診断やコンサルティング、教育等、ウェブサイトのライフサイクルすべての工程におけるセキュリティをサポートするサービスを提供しています。

増え続けるサイバーセキュリティーの課題に対して本質的な解決策を提供する、絵空事ではない、実績に裏打ちされた経験こそが私たちのバリューです。

https://www.hash-c.co.jp/

Struts自動移行サービスについて
セミナー資料のご請求はこちら