皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

今日は、ウェブサイトなどへのサイバー攻撃による被害状況をお伝えします。

サイバー攻撃による被害の実態

ウェブサイトなどへのサイバー攻撃による被害の内訳として一番多いのは『情報漏えい』で、実に全体の70%を超える割合となっています。

これは、WordPressなどのCMS（コンテンツ・マネジメント・システム）の脆弱性やそこで使われるプラグインの脆弱性、Webアプリケーションの脆弱性を狙ったものなど、何らかの脆弱性を突かれたものです。

そして、被害状況として一番多い『情報漏えい』の中でも、業種的には『卸売り・小売り』、『情報通信サービスプロバイダ』が50%以上を占めており、個人情報を取り扱うことの多い業種にターゲットが設定されていることが多いようです。

他における被害の状況としては、

・Webの改ざん

・不正アクセス

・スパムメール送信

・不正ファイルの設置

・DDoS攻撃の踏み台

などがあります。

サイバー攻撃への対策

これらのサイバー攻撃への対策として、まずは情報に敏感になることです。

常に最新の情報を収集し、脆弱性があることがわかったら直ぐに対応を行うことが重要になってきます。

また、レンタルサーバにおいても、WAF（ウェブ・アプリケーション・ファイアウォール）などのオプション追加するなど、外部からの攻撃に備えた施策を施しておくことも重要と言えるでしょう。

それを受け、JPCERTやIPAにおいても注意喚起が促されています。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

昨日、米国のセキュリティ機関が、3月に発覚したApache Struts2の脆弱性を突いた攻撃事案が急増していることを報告しました。

Apache Struts2とは？

そもそもApache Strutsというのは、Apacheソフトウェア財団が開発したオープンソースのJava Webアプリケーションフレームワークの機能改良版です。

従って、サーバにてJava Webアプリケーションフレームワーク、Apache Struts2が使われていなければ今回の問題は無関係ですので無視して構いません。

ランサムウェアに悪用されてしまう

Apache Struts2を使っている環境においては直ぐに更新版をインストールする必要があります。

今回の脆弱性を突かれてしまった場合、悪用された場合にはリモートでコードを実行し、不正なスクリプトを通じてコンピュータにダウンロードされ、ファイルを暗号化してしまい、身代金を要求されることになります。

こういった、Windowsに対する攻撃に悪用される事例が多く発生しているようなのです。

この脆弱性の対象は、Apache Struts 2.3.5からStruts 2.3.31までと、Apache Struts 2.5-Struts 2.5.10までで、それぞれ、Apache Struts 2.3.32、Apache Struts 2.5.10.1へアップロードする必要性があります。

自社内サーバではなく、社外のレンタルサーバなどを使用している場合においては各社の対応状況を確認しておいた方が良さそうです。