本特集は、日経コンピュータの看板コラム「動かないコンピュータ」の過去記事の中から、セキュリティー関連の事例を14本取り上げていく。トラブルの真相から、今後のリスク回避につなげてほしい。

 大型連休を目前にした2014年4月28日、情報処理推進機構(IPA)は4月29、30日に予定していたITパスポート試験の中止を決めた。オープンソースソフトウエア(OSS)の開発フレームワークである「Apache Struts 1」に、脆弱性が見つかったのがきっかけだ。

 IPAはStruts 1で構築した、インターネットによる「試験申込システム」を運用していた。発見された脆弱性を悪意のある第三者に突かれると、Webサイトを改ざんされたり、機密情報を盗まれたりする恐れがある。

 東京や札幌など計10会場で受験するはずだった約250人は、試験日の変更を余儀なくされ、IPAの担当者も休日返上で緊急対応を強いられた。

Webサイトが相次ぎ閉鎖

 Strutsは、JavaのWebアプリケーションを開発するためのソフトウエア。クライアントとのHTTP通信や画面遷移の制御といった、Webアプリ開発において広く必要となる機能を、まとめて提供するフレームワークだ。旧版の「Struts 1」と現行版の「Struts 2」の二系統が存在する。名前こそ同じだが、両者に互換性はほとんど無い。

 2000年に「Apacheソフトウエア財団(ASF)」が管理するようになり、官公庁や公共団体、企業のWebサイト構築などで盛んに使われるようになった。「2000年代前半には開発フレームワークのデファクトスタンダードとなり、日本では2000年代後半以降も広く利用された」と、NTTデータの冨安寛技術開発本部ソフトウェア工学推進センタ長は説明する。代替技術の登場で最盛期ほどは使われなくなっているが、今なお多くのユーザーを抱える。

 ITパスポート試験を中止に追い込んだ脆弱性は、悪用されるとWebシステムを乗っ取られる危険がある、深刻なものだった。しかも、修正パッチが存在せず、即座に対策を打つのも困難だった。そのため動揺が拡大し、IPAと同時期にWebサイトを閉鎖する企業や公的機関が相次いだ。

 4月25日には、国税庁がWebサイトで提供する一部のサービスを停止した。年間2000万人の確定申告者の大部分が活用する「確定申告書作成コーナー」など、三つのサービスである。再開するまでの5日間にわたり、サービスが利用できなくなった。

 プルデンシャル生命保険は4月28日から5月2日まで、契約内容を照会できる顧客向けインターネットサービスなどを停止。国立国会図書館も4月28日から3日間、デジタル資料のWeb閲覧サービスなどの提供をやめた。

 問題の発端は2014年3月、ASFが「Struts 2」の脆弱性を公開したことだった。悪用されるとシステムが乗っ取られる恐れがあるため、ASFは同時に修正パッチを配信。脆弱性への対策を施した。

 ところが、1カ月後に状況は暗転する。4月24日、同様の脆弱性が旧版のStruts 1にも存在することが発覚したのだ。問題は、ASFがStruts 1のサポートを2013年4月に打ち切っていたこと。そのため、修正パッチがASFから提供されず、Struts 1を使って構築したWebシステムが、攻撃に対して無防備であることが表面化したのだ。

 サポートが切れた後でも、Struts 1を使い続けているWebサイトは少なくない。ラック システムサービス本部産業システム統括部の藤本博史氏は、「日本ではStruts 2よりもむしろ、Struts 1を使ったサイトの方が多く残っている」と話す。こうした事実を4月24日、IPAや内閣官房情報セキュリティセンター(NISC)が発表したことで、官民を問わず動揺が広がった。

この先は会員の登録が必要です。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら