• 
• 
• 
• 
• 
• 
• 
• 
• 

「Spring4Shell」などの脆弱性、大きく報じられるも真のリスクを正しく評価すべき（後）

Spring4Shellリスクへの最善の対応

　Spring4Shellに関しては、WAFのブロックリストの項目の設定により、「class.*」「Class.*」「*.class.*」「*.Class.*」といった文字列が含まれる場合はブロックするようにしておく。

　次に脆弱性のあるコードが社内のシステムに含まれていないかどうかを確認する。Spring FrameworkやJavaを利用していても、バージョンによっては脆弱性に該当しない場合がある。トレンドマイクロのブログ記事では、Spring4Shellの脆弱性を通じてMiraiの攻撃を受けた環境について、主に次のような構成だったと説明している。

• Spring Frameworkのバージョン5.2.19以前、または5.3.17以前
• Java Development Kit（JDK）バージョン9以降
• Apache Tomcat
• spring-webmvcまたはspring-webfluxへの依存関係
• Springのパラメーターバインドで、POJO（Plain Old Java Object）などの特別なパラメータータイプを使用する構成
• デプロイ可能なWAR（Web Application Archive）形式のパッケージ
• 書き込み可能なファイルシステム

　情報の収集や見直しは継続的に行う必要がある。脆弱性の情報についてチーム内で細かく議論できる場がない場合は、Redditなどのサイトやセキュリティー関連のブログを参考にして、詳細情報を掘り下げていく。時には自分たちでは思い浮かばなかった疑問点や回避策の情報が得られることがある。また、セキュリティー診断や侵入テストの委託先など、外部のセキュリティー専門家から意見や情報を得られる場合はそちらも活用するとよい。

　結論：Spring4Shellのような脆弱性はリスクと真剣に向き合うこと。だが実情に合わせてリソースを適切に割り当てることが重要だ。自社の環境が危険にさらされていない可能性がある状況で、派手な見出しに踊らされてはならない。

（了）

記事原文（英語）はこちら

｜CIOについて｜CIOへのお問い合わせ・ご意見｜著作権・リンクについて｜個人情報の取り扱い｜