特に Apache Struts というのは、Apache HTTP Server のことだと思っていた。 勉強不足です。
存在に気付かないふり? Struts
- 例えばApache Strutsにおいては、Googleで「filetype:action」で検索しておけば、Apache Strutsを利用し、かつインターネットに公開されているページを、全てではないにしても労力をかけずある程度把握できる。脆弱性(攻撃方法)が公表されてから実際の攻撃が行われるまでの時間が、徐々に短くなってきているのもうなずけるだろう。
- 一般的にやられないという言葉は、「侵入されない」とか「マルウェアに感染しない」といったリスクゼロの状態を保つことを指すことが多いように筆者は感じているが、もはやそれは不可能である。であるならば、やられないの言葉の定義を変えてしまうことが必要であると筆者は考える。「何をやられたら嫌なのか」「何をやられたら困るのか」「どのような状態を避けたいのか」を考え、それをやられないようにと考えてほしいのである。極端な言い方になるが、サーバに保存された重要な情報を盗まれてしまうことを避けたい場合、仮に侵入を許してしまったとしても、重要な情報を盗まれなければよいのである。
脆弱性は何も守る側が先に発見できるとは限らない。当然、攻撃者が発見する事も多い。それがゼロディとなって現れる。そして、それが保守しているサイトを攻撃されるかも知れない。
そう言った意味で、余程外界との接触を絶たない限り、侵入される可能性は少なからずあると言う事が書かれていました。
この記事の事例にある会社のレベルまで達していないな、自分の保守しているシステムは。やばいぞ。
