PR

4月以降に続いた騒動

 さて、本題に移ろう。2014年4月以降、重要性の高い脆弱性が相次ぎ見つかり、大きな騒動となった。まずは、4月初旬のHeartBleed(心臓出血)である(関連記事1関連記事2)。SSLを使って暗号化していたサイトの管理者は、実際に脆弱性の影響があったか否かに関係なく何らかの対応を迫られたことだろう。

 次の騒動は、情報処理推進機構(IPA)が4月17日に実施したStruts2の脆弱性に対する注意喚起がきっかけになった。IPAは攻撃コードが公開されたことを受けて注意を発したが、開発元から公開された対応版に漏れがあり、2度にわたり修正された。

 その上、Struts2で発見された脆弱性が、開発元からのサポート切れ(EOL:End Of Life)となっている前バージョンのStruts1にも影響があるとの報告があった。これにより、Struts1を使用していたとみられるサイトで、製品などに組み込んでいるベンダーが正式に対応するまでは、緊急避難的にサイトを停止したところがあった(関連記事)。

 さらに、4月末に米国国土安全保障省がマイクロソフトのホームページ閲覧ソフト(以降ブラウザー)のInternet Explorer(以降IE)について、利用を控える注意を喚起した。ゼロデイ(セキュリティ更新ができない状態)で、米国政府関係組織を標的にした攻撃が実行されたため、緩和策などの手立てが取れるまで利用を控えるべきという内容だった。これを受けて日本でも、IEの利用について民放の昼の時間番組などで取り上げられ、日ごろセキュリティに関心を払わないユーザーまでを巻き込む騒ぎに発展した(関連記事)。