日経メッセ > SECURITY SHOW > ニュース > サポート切れ企業に脅威、システム構築ソフト「ストラッツ1」、自社対策へ。

日経の紙面から

サポート切れ企業に脅威、システム構築ソフト「ストラッツ1」、自社対策へ。

[ 2013年6月25日 / 日経産業新聞 ]

NTTデータなど

 企業の情報システムに新たな脅威が迫っている。多くの企業で使われているソフト「ストラッツ1」について、安全上の欠陥(脆弱性)を修正するプログラム「パッチ」の配布が4月に停止したためだ。実害はまだ無いが、専門家は「攻撃者はここぞとばかりに攻撃意欲を高めている」と話す。IT(情報技術)各社が対応を急いでいる。

 ストラッツ1は設計情報が開示されており、自由に改変・再配布ができるオープンソースソフト(OSS)。OSSなため、商用ソフトに比べ低コストでシステム構築できることから、2000年初頭から企業での採用が増えた。

 「複雑だったウェブの開発を簡単にして、一世を風靡したソフト」(ストラッツ1を使う業務ソフトを提供する企業の社長)と高い評価を得た。その後、競合ソフトも開発されたが、まだ相当数の企業がストラッツ1を使っているとみられる。

 「パッチ配布が停止した今、使い続ける危険性は非常に高い」。セキュリティー対策コンサルティング会社、S&Jコンサルティング(東京・港)の三輪信雄社長はこう指摘する。攻撃された場合は、ウェブサイトの改ざんにとどまらず、データ漏洩など甚大な被害を起こしかねない。

 ストラッツ1の最新版は08年から現在まで使い続けられているため、脆弱性が出尽くした「枯れた」状態と見る向きもある。だが情報処理推進機構(IPA)は「影響度の高い脆弱性が発見される可能性は否定できない」と話す。

 三輪氏によれば、ストラッツ1のようなプログラム規模が大きいソフトは脆弱性を調べる技術者が苦手とする分野。「攻撃者が脆弱性をすでに発見している可能性もある」という。

 ストラッツ1は金融やメディアのほか、防衛や警察のシステムでも使われている。「一斉攻撃があればお手上げ」(三輪氏)だ。

 対応策としては、別のソフトに乗り換える手がある。アパッチ財団が現在も開発を続ける後継ソフト「ストラッツ2」は名前こそ似ているが、中身は別物。すんなり移行できる後継のソフトが存在しないのが現状だ。載せ替える場合は「設計以降のほとんどの作業をやり直しになる」(日本IBM)ため、新規開発とあまり変わらない費用が必要となる。

 こうした状況を踏まえ、NTTデータは近くストラッツ1のパッチを自社で開発・提供することを顧客向けに発表する。同社は8年前からブラウザーを使った業務ソフトの土台としてストラッツ1を標準的に利用している。「ストラッツ1をベースにしたNTTデータのシステムを安心して使ってもらえるよう、数十人規模でセキュリティーに目を光らせ、対応していく」(坂田洋幸技術開発本部部長)という。

 NECは100を超える顧客のシステムでストラッツ1を使っているため、社内の専門部隊と連携してセキュリティー対策を提供する。日立製作所も標準的にストラッツ1を使っているため検討を急ぐ。ストラッツ1の利用顧客が少ない日本IBMは個別対応、富士通は原則的に対応しないという。

(井上英明)

 ▼ストラッツ(Struts)1 プログラミング言語「Java(ジャバ)」を使って業務ソフトやウェブサイトを作る作業を効率化するソフト。画面遷移や認証といった、各種ソフトが共通で利用する機能をまとめてある。煩雑な開発作業を効率化できるため世界的に普及した。2002年に米非営利団体アパッチ・ソフトウエア財団が最初のバージョンを公開。最新版は08年公開、13年にパッチの提供を停止した。

【表】ストラッツ1へのIT各社の対応      

企業名   ストラッツ1の利用状況   パッチ停止への対応

日本IBM   利用しているが多くは社内。外部向けのウェブサイトで使う例は限定的   個別対応。セキュリティーは別製品でカバーしている例が多い

富  士  通   一部で利用。標準ソフトは自社製   特になし。パッチ停止のリスクは合意済み

日立製作所   標準ソフトとして顧客や社内で広く利用   対応を検討中

N  E  C   21社106プロジェクトで利用   セキュリティー担当部門と連携して提供する

NTTデータ   標準ソフトとして広く利用   自社で作成して提供する

ニュースの最新記事

PAGE TOP