連載
» 2015年12月14日 05時00分 公開

セキュリティクラスター まとめのまとめ 2015年11月版:「Anonymousがあの組織に攻撃宣言」「俺たちが善玉ハッカーだ」――11月のセキュリティクラスターを振り返る (3/3)

[山本洋介山(エヌ・ティ・ティ・コミュニケーションズ),@IT]
前のページへ 1|2|3       

「Apache Commons Collections」の脆弱性で大騒ぎ

 さらに11月には、Javaのライブラリである「Apache Commons Collections」に任意のコードを実行できる大きな脆弱性が見つかり、多くの注目を集めました。11月は、この対応に追われた人も多かったかもしれません。

 なぜ一つのライブラリの脆弱性がここまで大きな騒ぎを呼んだのかというと、このライブラリがJavaを使ったWebサイト開発でよく用いられる「WebLogic」「WebSphere」「JBoss」「Jenkins」「OpenNMS」などの多くのミドルウエアで使用されているからです。

 しかも、各ミドルウエアに向けた攻撃の実証コードがすでに公開されていたため、該当のミドルウエアを使用していたWebサイトの関係者は、直ちに対応する必要がありました。

 実は、これらの情報は2015年1月には公開されていたようなのですが、その時点では特に注目されず、11月に入ってから、偶然誰かが見つけたというのが実態のようです。

 この脆弱性は、「デシリアライズ」という機能の実装に起因するものですが、「問題の根本はどこにあるのか」という点が議論の対象になりました。「ユーザー入力をチェックせずにシリアライズするライブラリの実装に問題がある」という意見があった一方で、「Java APIのデシリアライズ機構自体に問題がある」とする意見もありました。

 また、ユーザー入力をどのようにシリアライズ/デシリアライズするべきかというテーマに関して、盛んに意見が交換されました。

 さらに、過去にPerlやPHPなどの別言語でも同様の問題が起こっていたことについて言及するツイートもありました。


 この他にも、2015年11月のセキュリティクラスターは以下のような話題で盛り上がっていました。12月はどのようなことが起きるのでしょうね。

  • セキュリティカンファレンス「AVTOKYO2015」開催される
  • DDoS攻撃で情報を盗む?
  • 東京オリンピックに対する攻撃が早くも発生
  • LINEのバグバウンティの結果が発表される
  • 少年ハッカー団摘発
  • 日本でも「HackerOne」のようなバグバウンティサイトが開設されるらしい
  • スマートフォンの暗証番号を「8376」にすると運気が上がるという本が出版される
  • DellのPCに不審なルート証明書がインストールされていることが発覚
「セキュリティクラスター まとめのまとめ」バックナンバー

著者プロフィール

山本洋介山

bogus.jp

猫と一緒に自宅の警備をする傍ら、「twitterセキュリティネタまとめ」というブログを日々更新しているtwitterウォッチャー。セキュリティやネットワークに関する原稿も書いています。


前のページへ 1|2|3       

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。