情報処理推進機構(IPA)とJPCERTコーディネートセンターが運営する脆弱性情報サイト「JVN」は2015年11月16日、Javaアプリケーション開発に広く使われているライブラリーの「Apache Commons Collections(ACC)」のデータ処理に脆弱性があるとして、注意喚起する文書を出した。インターネット経由で不正なデータを受け取った場合に、端末・サーバー内で任意のJavaコードを実行される可能性がある。

 ACC 3.2.1と4.0の両方がこの脆弱性の影響を受ける。ACCを使っており脆弱性の影響を受ける具体的な製品名として、JVNは「WebSphere」「Jenkins」「WebLogic」「OpenNMS」を挙げている。

 これ以外にもACCを使用しているソフトウエアは数多く存在するとみられる。ACCを直接使用していなくても、端末・サーバーの「クラスパス指定」でアクセスできる範囲内にACCが存在するだけでも、脆弱性の影響を受ける可能性がある。

 脆弱性は、インターネット経由で受け取ったXMLなどのデータをJava内部で扱えるように変換する「デシリアライズ」と呼ばれる処理に起因する。サイバー攻撃などの目的で細工を施したデータを受け取ってデシリアライズが行われると、システムへの侵入を許してしまう可能性がある。

 JVNは、Java以外にPythonやRubyなどのプログラミング言語で書かれたライブラリーやソフトでも同様の問題が存在する可能性があると指摘。「使用するプログラミング言語やライブラリーにかかわらず、ソフトウエアを設計する段階から、データのシリアライズ機能について十分に考慮することが重要」だとしている。

 シリアライズ/デシリアライズという基礎的な処理に起因する脆弱性だけに、影響を回避するには、アプリケーション設計を見直すなどの大掛かりな対策が必要になる。このため、影響が長引く可能性がある。

この先は会員の登録が必要です。今なら有料会員(月額プラン)は12月末まで無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら