宅ふぁいる便の情報漏洩

2019年03月14日

今日、テレビのニュースで 見ました。
宅ふぁいる便で情報漏洩が発生したと。

そこで思い出したのが、Struts2の存在。
しつこいようでは ありますが、
やはりStruts2を使っていた可能性も あるのではないかと。

過去にあった 不正アクセスによるアカウント情報の漏洩も、
Struts2の脆弱性によるもので、
要は URLでアクセスするだけで、
不正操作が成立してしまうような問題だったようです。
URLに 不正なパラメーターを挿入してアクセスするだけで
成立するような脆弱性が かなりあるようです。

私自身、JavaでのWebアプリ開発経験は ないため、
詳しくはわからず、あくまで個人的な見解では ありますが、
ソースコードの行頭に 空改行のあるサイトは、
たいていJavaを使っている事が多い
ような気がします。
ただ、あくまでそんな気がするだけです。
おそらくは ロジックファイル内の改行が 出力されたのでしょうか。

宅ふぁいる便(跡)
https://www.filesend.to/
現に このページのソースコードを見てみると、
1行目に空改行があります。
サービス停止の旨が掲載されたページに 置き換わってはいますが、
おそらくは 大本は変えておらず、
indexのビューだけ、このメッセージに 置き換えたのでしょう。

しかも、HTMLコード自体も かなり古いようです。
これだと、Struts2を使っていると観られても、無理もない気もします。

運営元のオージス総研は、「100年アーキテクチャ」という、
持続可能なシステムを ウリにしていたそうです。
https://www.ogis-ri.co.jp/pickup/100years/index.html

しかし、脆弱性の見つかったシステムは、スッパリあきらめるなどをして、
安全性の確立された 新しい技術に乗り換えるという決断もしなければ、
ビジネスそのものが 10年程度しか持たず、
システムが100年持つかどうか以前の問題でしょうね。

Pocket