サイト構築ソフトに欠陥 官公庁などサイバー攻撃の恐れ
ウェブサイトを作成するために官公庁や銀行、企業などが広く利用しているソフト「ストラッツ1」にセキュリティー上の欠陥(脆弱性)があることが24日分かった。個人情報や機密情報を盗まれたりサイトが改ざんされたりするサイバー攻撃の恐れがある。同ソフトはサポートが終了しており、現在のところ修正プログラム(パッチ)は無い。すでに攻撃方法がインターネット上で公開されており、早急に対応が必要だ。
ストラッツ1はサイト作成や運用に利用するソフトで無償公開されている。2000年代初頭から企業や団体が採用、独立行政法人の情報処理推進機構によると現在も多くの省庁や企業などで使われているという。
開発元である米非営利団体アパッチ・ソフトウエア財団は08年に最終版を出荷、13年4月にサポートを終了してパッチの提供を停止した。欠陥が見つかったのは08年以降で初めて。情報セキュリティー大手のラックが発見、24日に公表した。同社は今後も新たな欠陥が見つかる可能性があると見ている。
欠陥を突いてサイバー攻撃を受けた場合、サイトを動かすシステムを乗っ取られる恐れがある。すべての操作をできるため情報を盗んだり、サイトを改ざん・停止できたりする。ウイルスを仕掛けることで、訪問者を感染させて次の攻撃につなげることも容易になる。
官公庁などにストラッツ1を使ったシステムを多く納入するNTTデータがパッチを作る方針を打ち出している。だが、現状では「作成完了日は未定」という。
企業など利用者の対策の一つは新たなソフトを使ってサイトを作り直すこと。もう一つは攻撃を一時的にかわす応急措置だ。システムを構築した開発者なら、攻撃のアクセスを特定できれば対応できる見通し。
トレンドマイクロは攻撃アクセスを防ぐソフトの販売を始めており、これを使って一時的な対応も可能。シマンテックも同様の製品を出荷した。
内閣官房情報セキュリティセンターは24日、各省庁に注意喚起し早期対応を呼びかけた。総務省は「政治資金関係申請・届出オンラインシステム」でストラッツ1を使っているとみられ、「運用を委託する富士ソフトを通じて確認中」(政治資金課)という。
ネット上の不審な通信を監視している警察庁は、今回明らかになった欠陥を狙ったとみられる不審なアクセスは24日夕時点で把握していないとしている。ただ、トレンドマイクロによると、すでに攻撃方法がネット上に公開されており、今後、被害がまん延する可能性もあるという。
ネット上では通信を暗号化するソフト「オープンSSL」の欠陥が引き金になって三菱UFJニコスが約900人の個人情報を盗み見られるなどの被害が世界的に発生したばかり。オープンSSLはパッチがあるが、今回は本格的な対策には時間がかかりそうだ。