深刻なセキュリティ被害をもたらすStrutsの脆弱性対策セミナーを開催します!
[17/04/04]
提供元:DreamNews
提供元:DreamNews
株式会社スタイルズ(本社:東京都千代田区、代表取締役社長:梶原 稔尚 以下、スタイルズ)は、2017年4月24日(月)、JavaのWebフレームワーク「Apache Struts」の脆弱性対策セミナー「深刻化するStruts脆弱性にどう対処するか?」を開催いたします。
本セミナーでは、基調講演としてWebセキュリティの第一人者である徳丸浩氏にご登壇いただき、ウェブサイトの侵入を防ぐためにはどこまで対策するべきかをご講演いただきます。また、Struts脆弱性の仕組みや実例をわかりやすく解説し、取り組むべき具体的な課題解決の手段・対処方法や事例をお伝えいたします。皆様のご参加を心よりお待ちしております。
◆徳丸浩氏ご登壇!『深刻化するStruts脆弱性にどう対処するか?』セミナー概要
開催日時:2017年4月24日(月) 15時30分〜18時00分(受付開始15時00分)
会 場 :御茶ノ水ソラシティカンファレンスセンター TerraceRoom
(最寄駅:JR中央線・総武線「御茶ノ水」駅、東京メトロ千代田線「新御茶ノ水駅」)
(住所:東京都千代田区神田駿河台4-6 )
申 込 :https://www.stylez.co.jp/20170424_seminar/
入場料 :無料(事前登録制)
定 員 :70名
主 催 :株式会社スタイルズ
共 催 :HASHコンサルティング株式会社
◆プログラム
15:30〜16:30
基調講演 『ウェブサイトの侵入を防ぐためにはどこまで対策するべきか 〜Struts2の話題を中心に〜 』
HASHコンサルティング株式会社 代表 徳丸 浩 氏
16:30〜16:40
『セキュリティサービスのご紹介』
HASHコンサルティング株式会社 セキュリティエンジニア 岡本 早和子 氏
16:50〜17:30
『StrutsからSpringへの自動コンバートサービスと事例紹介』
株式会社スタイルズ SIビジネスグループ リーダー 鈴木 健夫 氏
17:30〜18:00
質問およびご相談会
株式会社スタイルズ Strutsセミナー担当 棚田
Tel:03-5244-4112 / e-mail:seminar@stylez.co.jp
参考資料
◆Struts1で構築したWebアプリケーションの自動変換ツール
スタイルズでは、Struts1からSpringMVCの自動変換ツールをご提供し、Struts1脆弱性の根本的解決、移行コストの削減を図っています。このツールはコードを解析して、Struts1仕様のタグを、Spring/JSTL(Java Server Pages Standard Tag Library)のタグに自動変換します。
1.自動化でコスト削減
JSP・アクション・ホームといった比較的共通性のある部分の移行は自社開発の変換ツールにより自動的に行います。これにより、開発工数を削減し、納期・コストの縮小につなげます。
2.要件定義はいらない
通常の移行作業では、システムの要件定義から始めるため、時間も工数も多くなりがちですが、現状のシステムをそのまま変換することで、変更の必要がない部分について無駄な要件定義をする必要がなくなります。
3.SpringMVC
SpringMVCはSpring開発当初からあるコンポーネントで、現在も活発に開発が行われています。最新のフレームワークのデファクトスタンダードとして、多くのシステムで使用されています。
◆Strutsの脆弱性の歴史と急務の課題
10年以上前、Webシステム開発のデファクト・スタンダードは、Struts1でした。2013年4月にEOL(サポート切れ)を迎えましたが、多くのシステムがそのまま利用され続けているのが現状です。サポート切れ後には、大きな話題となった「ClassLoader を操作可能な脆弱性」等、多くのセキュリティ上の弱点が指摘されてきました。
[2014年04月25日] ClassLoader を操作可能な脆弱性(CVE-2014-0094)
[2015年03月24日] 入力チェックをスルーできるValidator の脆弱性(CVE-2015-0899)
[2016年06月07日] メモリ上のコンポーネントを操作可能な脆弱性(CVE-2016-1181)
[2016年06月07日] 入力値検証に関する設定を変更可能な脆弱性(CVE-2016-1182)
その後、開発されるWebシステムにおいては、後継としてのStruts2、SpringMVC、JavaEE等のフレームワークが利用されてきましたが、Struts2は、2014年以降、何度も脆弱性の問題が発見され、2017年に入っては、「任意のコードを実行できる脆弱性(S2-045、CVE-2017-5638)」が見つかり、クレジットカード情報や個人情報の流出など、非常に深刻な被害が発生しています。
[2016年04月18日]Apache Struts における任意のコードを実行される脆弱性(JVNDB-2016-002075)
[2017年03月09日] Apache Struts 2 の脆弱性 (S2-045) に関する注意喚起<<< JPCERT/CC Alert 2017-03-09 >>>
Struts系フレームワークは、過去に多くの脆弱性の指摘を受けている歴史からいって、今後も問題が発生する可能性が大きいことも指摘されており、以下の理由から被害が甚大化する可能性もあります。
・過去に多くのRCEを提供してきた実績があり、完全に攻撃者が目を付ける侵入経路となっている
・(WordPress等と比較して)大型で重要なWebシステムで使われているケースが多い
・日本国内においてはやや慎重なベンダーがシステムを運用しているケースが多く、バージョンアップが素早く行われない
そのため、Struts系フレームワークを採用している企業にとっては、可能な限り迅速に、根本的な対策を行なうことが急務と言えます。
◆基調講演者のご紹介
徳丸 浩(とくまる ひろし) 氏
1985年京セラ株式会社に入社後、ソフトウェアの開発、企画に従事。
1999年に携帯電話向け認証課金基盤の方式設計を担当したことをきっかけにWebアプリケーションのセキュリティに興味を持つ。2004年同分野を事業化。
2008年独立して、Webアプリケーションセキュリティを専門分野とするHASHコンサルティング株式会社を設立。2015年 イー・ガーディアングループに参画。
脆弱性診断やコンサルティング業務のかたわら、ブログや勉強会などを通じてセキュリティの啓蒙活動をおこなっている。著書に、「徳丸浩のWebセキュリティ教室」(日経BP社)「体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践(ソフトバンククリエイティブ)」がある。
HASHコンサルティング株式会社代表、京セラコミュニケーションシステム株式会社技術顧問、独立行政法人情報処理推進機構(IPA)非常勤研究員。技術士(情報工学部門)。
◆株式会社スタイルズについて
スタイルズは平成15年の設立以来、企業が円滑な事業を行うのに必要なITインフラの構築や、システム開発・保守、モバイルアプリやソフトウェアの開発などを手掛けてきたSI会社です。
APNテクノロジーパートナーをはじめ各種クラウドのパートナーとして、オープンソース配布、運用支援、構築、開発サービスを提供しています。
詳細は https://www.stylez.co.jp/ をご参照ください。
本セミナーでは、基調講演としてWebセキュリティの第一人者である徳丸浩氏にご登壇いただき、ウェブサイトの侵入を防ぐためにはどこまで対策するべきかをご講演いただきます。また、Struts脆弱性の仕組みや実例をわかりやすく解説し、取り組むべき具体的な課題解決の手段・対処方法や事例をお伝えいたします。皆様のご参加を心よりお待ちしております。
◆徳丸浩氏ご登壇!『深刻化するStruts脆弱性にどう対処するか?』セミナー概要
開催日時:2017年4月24日(月) 15時30分〜18時00分(受付開始15時00分)
会 場 :御茶ノ水ソラシティカンファレンスセンター TerraceRoom
(最寄駅:JR中央線・総武線「御茶ノ水」駅、東京メトロ千代田線「新御茶ノ水駅」)
(住所:東京都千代田区神田駿河台4-6 )
申 込 :https://www.stylez.co.jp/20170424_seminar/
入場料 :無料(事前登録制)
定 員 :70名
主 催 :株式会社スタイルズ
共 催 :HASHコンサルティング株式会社
◆プログラム
15:30〜16:30
基調講演 『ウェブサイトの侵入を防ぐためにはどこまで対策するべきか 〜Struts2の話題を中心に〜 』
HASHコンサルティング株式会社 代表 徳丸 浩 氏
16:30〜16:40
『セキュリティサービスのご紹介』
HASHコンサルティング株式会社 セキュリティエンジニア 岡本 早和子 氏
16:50〜17:30
『StrutsからSpringへの自動コンバートサービスと事例紹介』
株式会社スタイルズ SIビジネスグループ リーダー 鈴木 健夫 氏
17:30〜18:00
質問およびご相談会
株式会社スタイルズ Strutsセミナー担当 棚田
Tel:03-5244-4112 / e-mail:seminar@stylez.co.jp
参考資料
◆Struts1で構築したWebアプリケーションの自動変換ツール
スタイルズでは、Struts1からSpringMVCの自動変換ツールをご提供し、Struts1脆弱性の根本的解決、移行コストの削減を図っています。このツールはコードを解析して、Struts1仕様のタグを、Spring/JSTL(Java Server Pages Standard Tag Library)のタグに自動変換します。
1.自動化でコスト削減
JSP・アクション・ホームといった比較的共通性のある部分の移行は自社開発の変換ツールにより自動的に行います。これにより、開発工数を削減し、納期・コストの縮小につなげます。
2.要件定義はいらない
通常の移行作業では、システムの要件定義から始めるため、時間も工数も多くなりがちですが、現状のシステムをそのまま変換することで、変更の必要がない部分について無駄な要件定義をする必要がなくなります。
3.SpringMVC
SpringMVCはSpring開発当初からあるコンポーネントで、現在も活発に開発が行われています。最新のフレームワークのデファクトスタンダードとして、多くのシステムで使用されています。
◆Strutsの脆弱性の歴史と急務の課題
10年以上前、Webシステム開発のデファクト・スタンダードは、Struts1でした。2013年4月にEOL(サポート切れ)を迎えましたが、多くのシステムがそのまま利用され続けているのが現状です。サポート切れ後には、大きな話題となった「ClassLoader を操作可能な脆弱性」等、多くのセキュリティ上の弱点が指摘されてきました。
[2014年04月25日] ClassLoader を操作可能な脆弱性(CVE-2014-0094)
[2015年03月24日] 入力チェックをスルーできるValidator の脆弱性(CVE-2015-0899)
[2016年06月07日] メモリ上のコンポーネントを操作可能な脆弱性(CVE-2016-1181)
[2016年06月07日] 入力値検証に関する設定を変更可能な脆弱性(CVE-2016-1182)
その後、開発されるWebシステムにおいては、後継としてのStruts2、SpringMVC、JavaEE等のフレームワークが利用されてきましたが、Struts2は、2014年以降、何度も脆弱性の問題が発見され、2017年に入っては、「任意のコードを実行できる脆弱性(S2-045、CVE-2017-5638)」が見つかり、クレジットカード情報や個人情報の流出など、非常に深刻な被害が発生しています。
[2016年04月18日]Apache Struts における任意のコードを実行される脆弱性(JVNDB-2016-002075)
[2017年03月09日] Apache Struts 2 の脆弱性 (S2-045) に関する注意喚起<<< JPCERT/CC Alert 2017-03-09 >>>
Struts系フレームワークは、過去に多くの脆弱性の指摘を受けている歴史からいって、今後も問題が発生する可能性が大きいことも指摘されており、以下の理由から被害が甚大化する可能性もあります。
・過去に多くのRCEを提供してきた実績があり、完全に攻撃者が目を付ける侵入経路となっている
・(WordPress等と比較して)大型で重要なWebシステムで使われているケースが多い
・日本国内においてはやや慎重なベンダーがシステムを運用しているケースが多く、バージョンアップが素早く行われない
そのため、Struts系フレームワークを採用している企業にとっては、可能な限り迅速に、根本的な対策を行なうことが急務と言えます。
◆基調講演者のご紹介
徳丸 浩(とくまる ひろし) 氏
1985年京セラ株式会社に入社後、ソフトウェアの開発、企画に従事。
1999年に携帯電話向け認証課金基盤の方式設計を担当したことをきっかけにWebアプリケーションのセキュリティに興味を持つ。2004年同分野を事業化。
2008年独立して、Webアプリケーションセキュリティを専門分野とするHASHコンサルティング株式会社を設立。2015年 イー・ガーディアングループに参画。
脆弱性診断やコンサルティング業務のかたわら、ブログや勉強会などを通じてセキュリティの啓蒙活動をおこなっている。著書に、「徳丸浩のWebセキュリティ教室」(日経BP社)「体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践(ソフトバンククリエイティブ)」がある。
HASHコンサルティング株式会社代表、京セラコミュニケーションシステム株式会社技術顧問、独立行政法人情報処理推進機構(IPA)非常勤研究員。技術士(情報工学部門)。
◆株式会社スタイルズについて
スタイルズは平成15年の設立以来、企業が円滑な事業を行うのに必要なITインフラの構築や、システム開発・保守、モバイルアプリやソフトウェアの開発などを手掛けてきたSI会社です。
APNテクノロジーパートナーをはじめ各種クラウドのパートナーとして、オープンソース配布、運用支援、構築、開発サービスを提供しています。
詳細は https://www.stylez.co.jp/ をご参照ください。