深刻なセキュリティ被害をもたらすStrutsの脆弱性対策セミナーを開催します!
- 2017年04月04日 11:00:00
- マネー
- Dream News
- コメント
株式会社スタイルズ(本社:東京都千代田区、代表取締役社長:梶原 稔尚 以下、スタイルズ)は、2017年4月24日(月)、JavaのWebフレームワーク「Apache Struts」の脆弱性対策セミナー「深刻化するStruts脆弱性にどう対処するか?」を開催いたします。
本セミナーでは、基調講演としてWebセキュリティの第一人者である徳丸浩氏にご登壇いただき、ウェブサイトの侵入を防ぐためにはどこまで対策するべきかをご講演いただきます。また、Struts脆弱性の仕組みや実例をわかりやすく解説し、取り組むべき具体的な課題解決の手段・対処方法や事例をお伝えいたします。皆様のご参加を心よりお待ちしております。
◆徳丸浩氏ご登壇!『深刻化するStruts脆弱性にどう対処するか?』セミナー概要
開催日時:2017年4月24日(月) 15時30分~18時00分(受付開始15時00分)
会 場 :御茶ノ水ソラシティカンファレンスセンター TerraceRoom
(最寄駅:JR中央線・総武線「御茶ノ水」駅、東京メトロ千代田線「新御茶ノ水駅」)
(住所:東京都千代田区神田駿河台4-6 )
申 込 :https://www.stylez.co.jp/20170424_seminar/
入場料 :無料(事前登録制)
定 員 :70名
主 催 :株式会社スタイルズ
共 催 :HASHコンサルティング株式会社
◆プログラム
15:30~16:30
基調講演 『ウェブサイトの侵入を防ぐためにはどこまで対策するべきか ~Struts2の話題を中心に~ 』
HASHコンサルティング株式会社 代表 徳丸 浩 氏
16:30~16:40
『セキュリティサービスのご紹介』
HASHコンサルティング株式会社 セキュリティエンジニア 岡本 早和子 氏
16:50~17:30
『StrutsからSpringへの自動コンバートサービスと事例紹介』
株式会社スタイルズ SIビジネスグループ リーダー 鈴木 健夫 氏
17:30~18:00
質問およびご相談会
株式会社スタイルズ Strutsセミナー担当 棚田
Tel:03-5244-4112 / e-mail:seminar@stylez.co.jp
参考資料
◆Struts1で構築したWebアプリケーションの自動変換ツール
スタイルズでは、Struts1からSpringMVCの自動変換ツールをご提供し、Struts1脆弱性の根本的解決、移行コストの削減を図っています。このツールはコードを解析して、Struts1仕様のタグを、Spring/JSTL(Java Server Pages Standard Tag Library)のタグに自動変換します。
1.自動化でコスト削減
JSP・アクション・ホームといった比較的共通性のある部分の移行は自社開発の変換ツールにより自動的に行います。これにより、開発工数を削減し、納期・コストの縮小につなげます。
2.要件定義はいらない
通常の移行作業では、システムの要件定義から始めるため、時間も工数も多くなりがちですが、現状のシステムをそのまま変換することで、変更の必要がない部分について無駄な要件定義をする必要がなくなります。
3.SpringMVC
SpringMVCはSpring開発当初からあるコンポーネントで、現在も活発に開発が行われています。最新のフレームワークのデファクトスタンダードとして、多くのシステムで使用されています。
◆Strutsの脆弱性の歴史と急務の課題
10年以上前、Webシステム開発のデファクト・スタンダードは、Struts1でした。2013年4月にEOL(サポート切れ)を迎えましたが、多くのシステムがそのまま利用され続けているのが現状です。サポート切れ後には、大きな話題となった「ClassLoader を操作可能な脆弱性」等、多くのセキュリティ上の弱点が指摘されてきました。
[2014年04月25日] ClassLoader を操作可能な脆弱性(CVE-2014-0094)
[2015年03月24日] 入力チェックをスルーできるValidator の脆弱性(CVE-2015-0899)
[2016年06月07日] メモリ上のコンポーネントを操作可能な脆弱性(CVE-2016-1181)
[2016年06月07日] 入力値検証に関する設定を変更可能な脆弱性(CVE-2016-1182)
その後、開発されるWebシステムにおいては、後継としてのStruts2、SpringMVC、JavaEE等のフレームワークが利用されてきましたが、Struts2は、2014年以降、何度も脆弱性の問題が発見され、2017年に入っては、「任意のコードを実行できる脆弱性(S2-045、CVE-2017-5638)」が見つかり、クレジットカード情報や個人情報の流出など、非常に深刻な被害が発生しています。
[2016年04月18日]Apache Struts における任意のコードを実行される脆弱性(JVNDB-2016-002075)
[2017年03月09日] Apache Struts 2 の脆弱性 (S2-045) に関する注意喚起<<< JPCERT/CC Alert 2017-03-09 >>>
Struts系フレームワークは、過去に多くの脆弱性の指摘を受けている歴史からいって、今後も問題が発生する可能性が大きいことも指摘されており、以下の理由から被害が甚大化する可能性もあります。
・過去に多くのRCEを提供してきた実績があり、完全に攻撃者が目を付ける侵入経路となっている
・(WordPress等と比較して)大型で重要なWebシステムで使われているケースが多い
・日本国内においてはやや慎重なベンダーがシステムを運用しているケースが多く、バージョンアップが素早く行われない
そのため、Struts系フレームワークを採用している企業にとっては、可能な限り迅速に、根本的な対策を行なうことが急務と言えます。
◆基調講演者のご紹介
徳丸 浩(とくまる ひろし) 氏
1985年京セラ株式会社に入社後、ソフトウェアの開発、企画に従事。
1999年に携帯電話向け認証課金基盤の方式設計を担当したことをきっかけにWebアプリケーションのセキュリティに興味を持つ。2004年同分野を事業化。
2008年独立して、Webアプリケーションセキュリティを専門分野とするHASHコンサルティング株式会社を設立。2015年 イー・ガーディアングループに参画。
脆弱性診断やコンサルティング業務のかたわら、ブログや勉強会などを通じてセキュリティの啓蒙活動をおこなっている。著書に、「徳丸浩のWebセキュリティ教室」(日経BP社)「体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践(ソフトバンククリエイティブ)」がある。
HASHコンサルティング株式会社代表、京セラコミュニケーションシステム株式会社技術顧問、独立行政法人情報処理推進機構(IPA)非常勤研究員。技術士(情報工学部門)。
◆株式会社スタイルズについて
スタイルズは平成15年の設立以来、企業が円滑な事業を行うのに必要なITインフラの構築や、システム開発・保守、モバイルアプリやソフトウェアの開発などを手掛けてきたSI会社です。
APNテクノロジーパートナーをはじめ各種クラウドのパートナーとして、オープンソース配布、運用支援、構築、開発サービスを提供しています。
詳細は https://www.stylez.co.jp/ をご参照ください。
21歳グラドルが突然の報告「今年の6月から大切な家族ができていました」
たむらけんじ「嘘に証拠ってあるのかな?」松本との酒席巡り後輩芸人が週刊誌側訴えた裁判に私見
DJふぉいの不倫疑惑“謝罪なし”に格闘家激怒「てめぇは美味しく料理してやるから覚悟しとけ」
右腕切断の佐野慈紀氏、左投げで「ピッカリ投法」復活!腰の感染症で入院中も外出許可得て挑戦
コロナ禍後の「外出事情と健康」 筋肉や筋力に不安の残る結果
トミーズ健「ジャンボ宝くじ当たっても、嫁と雅には秘密」 川田裕美アナ「夫にだけ言う」
IHG、「ホリデイ・イン京都五条」を2025年1月29日に開業
【VANS】ロックバンド「ELLEGARDEN」とのコラボコレクションが登場!
お一人様用のケーキ登場!ラ・メゾン白金グランの「クリスマスプチガトー」
右腕切断の佐野慈紀氏、現在の病状を説明「最悪の場合はもう1度手術する」腰の感染症で入院中
高橋ジョージ「やっぱりお縄だよ」新曲の印税引き出したら銀行の態度が…その後に残高見て仰天
「普通は即死」渡辺香津美、危篤状態から在宅療養に 妻「生きていてさえくれれば…」
粗品がバッサリ「おじさんパーカー騒動」の27歳女性脚本家を“ひと言”で介錯
上沼恵美子に「番組ナメてはりません?」ブチ切れされた大物俳優が「君は…」
北九州中学生2人死傷 近くに住む40代男性を殺人未遂容疑で逮捕
さらば・森田、『ラヴィット』で放送禁止用語の大失言!麒麟・川島が即謝罪もブチ切れ
中川翔子「加害者を守る必要なんかない」 北九州・中学生殺傷事件では容疑者報道めぐり物議
特殊捜査係20人が窓ガラス割り突入、容疑者確保 中学生2人殺傷
二宮和也、45歳女性タレントに打ち合わせでの悪い態度を暴露され「何であいつ来るんだよ」恨み節
ベラルーシで日本人2人目の拘束 日本大使館が現地報道を事実と確認
多部未華子(30)結婚の裏事情あまりにも恐ろしすぎると話題に!
浜崎あゆみ、バスト丸見えの投稿にネット騒然「巨乳すぎて不自然」
二階堂ふみが結婚!?お相手が衝撃的過ぎてネット民「マジか・・・」
中山美穂さんが“一番心を許していた親友”は男性芸人「つらすぎるけど泣かないように頑張ります」
高橋ジョージ「やっぱりお縄だよ」新曲の印税引き出したら銀行の態度が…その後に残高見て仰天
千円札に込めた奇跡!明石家さんまが30年間大切にした「ラブレター」に感涙
クロちゃんを騙した「レイちゃま(小林レイミ)」の現在が別人すぎると話題に
飯島直子「いつみんなに言おうか…」別れを報告「お空へ旅立ちました」
まるで別人?浜崎あゆみのFNS歌謡祭での姿に驚きの声
54歳急死の中山美穂さん自宅に妹、中山忍の姿 報道陣に深々と頭下げる
21歳グラドルが突然の報告「今年の6月から大切な家族ができていました」
たむらけんじ「嘘に証拠ってあるのかな?」松本との酒席巡り後輩芸人が週刊誌側訴えた裁判に私見
DJふぉいの不倫疑惑“謝罪なし”に格闘家激怒「てめぇは美味しく料理してやるから覚悟しとけ」
右腕切断の佐野慈紀氏、左投げで「ピッカリ投法」復活!腰の感染症で入院中も外出許可得て挑戦
コロナ禍後の「外出事情と健康」 筋肉や筋力に不安の残る結果
トミーズ健「ジャンボ宝くじ当たっても、嫁と雅には秘密」 川田裕美アナ「夫にだけ言う」
IHG、「ホリデイ・イン京都五条」を2025年1月29日に開業
【VANS】ロックバンド「ELLEGARDEN」とのコラボコレクションが登場!
松本人志飲み会参加セクシー女優「松ちゃんってほんまのトコどうなん?とか言われる度に悔しい」
お一人様用のケーキ登場!ラ・メゾン白金グランの「クリスマスプチガトー」