先週末から、Apache Strutsを使ったHPの脆弱性の問題が明らかになって、企業のシステム担当者は右往左往していることだろう。さいわい私の関係先はほとんど使っていなかったので、今はなんとかなっている。

 Apache Strutsの最新バージョンは2014年3月2日に提供された2.3.16.1。ここで休バージョンの脆弱性は消えたはずだったのだが、まだ消えていなかった。

どんな問題があったか?技術的なことをなるべく避けて、簡単に書くと、情報を書き換えられたり、盗まれたりする危険があるということ。そして国内のITベンダー最大手のNTTデータなど多くのシステム関連企業が使用していたということ。そのために公共機関のホームページにかなり脆弱性が出ているということが問題なのだ。

事実国税庁はこの問題のせいで、ネットでの納税申告ページを封鎖した。

この Apache Strutsはすでにサポートが終了している。NTTデータが修正ファイルを作り始めたが、一週間ほどかかるというニュースが流れている。

しばらくは、大手の会社や政府関係でも、ホームページを見に行くのは避けた方がよいかもしれない。
 PC犬MH900082213