特許情報プラットフォーム、サービス停止の原因はApache Struts 2の脆弱性を狙った攻撃だった 31
ストーリー by headless
復旧 部門より
復旧 部門より
独立行政法人 工業所有権情報・研修館は16日、特許情報プラットフォーム(J-PlatPat)サービスを17日9時までに再開することを発表した。サービスは17日時点で利用可能になっている。
J-PlatPatは外部からの攻撃が検知されたため9日からサービスを停止しており、再開に向けたセキュリティ対策などを進めていた。攻撃はApache Struts 2の脆弱性を狙ったものだったが、同サービスは特許など公開された情報のみを提供するものであることから、個人情報の漏洩は発生しなかったとのこと。17日以降予定されていたメンテナンスおよび機能追加・改善は延期となる。
J-PlatPatは外部からの攻撃が検知されたため9日からサービスを停止しており、再開に向けたセキュリティ対策などを進めていた。攻撃はApache Struts 2の脆弱性を狙ったものだったが、同サービスは特許など公開された情報のみを提供するものであることから、個人情報の漏洩は発生しなかったとのこと。17日以降予定されていたメンテナンスおよび機能追加・改善は延期となる。
個人的には J-STAGE のサービス中断が大きかった (スコア:2)
J-STAGEサービス再開に際してのお詫び [jst.go.jp]
公表されている攻撃日が特許情報プラットフォーム(J-PlatPat)サービスの前日なのだけど、まさかと思ったら、やっぱりそうなのか [hatena.ne.jp]。
モデレータは基本役立たずなの気にしてないよ
機能追加・改善は延期 (スコア:0)
検索結果をURLで指定できるようになる神アップデート延期か…。
Re:アリスちゃんのでっかいウンコです (スコア:0)
Apache Struts 関連の問題は年末からうわさをされてたんですが大手で実害がでたせい
(おかげ)で各メーカー進展がなかった問題のある製品の一斉アップデートがやっとされた
というかんじです
やっぱ通信の可視化ができる装置をネットワークの間に挟んでいると、傾向が見えるってのは
ありがたい
言われなきゃやらない人達 (スコア:0)
問題が発生し(且つ、何かしらの攻撃を受けて)てからじゃないと行動しない人が多いね。
「早い所対応した方がいいでっせ、旦那!」と声を掛けても、腰が重くて動かないとどうなるか。
もっと痛い目に遭わないとダメなような気もしますが。
(一番困るのは国民だけど)
Re:言われなきゃやらない人達 (スコア:1)
社会人になればわかると思いますが
行動する人には方針決定の権限がないものです
権限を持つ上席が有能なことは
とても運のよい環境であり
大抵はあなたのおっしゃるような
愚かしい方が権限を持っているものなのです
あなたのような主張を上席にした場合
大抵の職場では下記のような理由で
有害な要員と見做されます
・不都合な事実を主張した
・不都合な未来を述べた
・現時点で実害を被っていない
・対処したところで実績にならない
・そもそも理解できない
・etc...
そういった環境に携わらないのが最適解ですので
職探しの参考になさってください
# 個人サーバーでApache Struts使ってるようなやつはしらん
Re:言われなきゃやらない人達 (スコア:1)
今となっては、問題が発生して慌てて行動する人はまだマシなレベルです。
この世には大問題が発生しても、
「(事前にさんざん忠告したにもかかわらず)俺は聞いていない」
「お前らが悪いんだからお前らが全責任を負え」
という、まるで聳え立つクソのような上司や経営者が多くいらっしゃるのですよ。
で上役や株主には「担当者を処分しました」と堂々と発表して幕引きという、
どこにも救いのない現実があったりするわけで・・
Re:言われなきゃやらない人達 (スコア:2)
日本の場合は無関係な第三者を告発して終わりにする場合があるから恐ろしい。
Re: (スコア:0)
まあStruts使ってたとこはこれしか無かったので「絶対行くな!」ですね。
Re: (スコア:0)
うわー。うちみたい。
何かあって責任問題ということになれば、後始末も何もかも放り出して辞めようと思ってます。
Re: (スコア:0)
そこまで糞だと恥ずかしげもなく賠償請求まで吹っかけて来かねないから、
「問題が発生し(且つ、何かしらの攻撃を受けて)てからじゃないと行動しない」
のでは手遅れですよ。
# なんつうかこの文脈でこんなこと言われると、同類なんですねとしか……
Re: (スコア:0)
で、これに対応するために検証抜きでリリースして(今回GMOの件でそうしないと間に合わないことがはっきりした)何か起きたらまた叩くんでしょ?
Re: (スコア:0)
叩かれるからって検証を省いてリリースする行為自体、叩かれて当然じゃないですか。
そんなに叩かれたいのですか。あなたは熱心なクルセイダーさんですね。
Re: (スコア:0)
> そんなに叩かれたいのですか。あなたは熱心なクルセイダーさんですね。
普通なら何を言ってるんだお前となるんだが。
困ったことに誰のことか想像が付くよ……
Re: (スコア:0)
リリースまでしなくても、システム止めてメンテナンス画面出すことで時間稼ぎは出来るかな。
攻撃前に、それが必要なレベルか否かの判断を如何に迅速に行えるようにするかが肝か。
というか、検証抜きリリースなら間に合ってたのだろうか?
3/9 18:00に情報を受け取り、3/9 21:56に取り敢えずの対策が完了している。
その後の対策は、被害の確認、被害からの二次災害対策、抜本対策のようだから、
被弾自体は3/9 21:56より前っぽいんだが…。いつの時点で攻撃されたのかって情報は出てるっけ?
Struct 2の利用者の多さに驚き (スコア:0)
はてなブックマークとかhacker newsとかじゃ一切話題にならないんだけどね。
ブログ書くようなエンジニアの分布ってやっぱり偏りがあるのがわかるね。
Re: (スコア:0)
前者はそもそも住人自体に偏りがある。
「ブログ書くような」ではなくはてなを好む人自体が偏ってるのです。
そういう意味では2chのほうが多様性がある。
Re: (スコア:0)
スペル違うからそういうのをカバーできない検索だとひっかからんかもね
Re: (スコア:0)
ああミスった。つい手癖でよく使う単語を打ってしまった…。
Re: (スコア:0)
Strutsのようなヘビー級のフレームワークを使うのはいわゆる大きめの企業なんかが多そう。開発はいわゆるSI系みたいな。
そうなるとSI系をバカにしている人が多いはてな界隈とかだとそもそもStrutsが視界に入っていない気がする。
Re: (スコア:0)
いわゆるITゼネコンでStruts 2使ってるところは多いよ。
Java開発といえば Hibernate+Strutsで、それを習得しているのがJava技術者である、
という時代からの流れだろうね。
まあ、ドカタJava技術者が書いてるブログというのは無いだろうな。
大手の仕事は情報漏洩をしつこく気にするから、自然と控えるというのもあるけど、
そもそも自分が、世の技術動向からするとまったくイケてないという自覚はあるわけで、
わざわざ披瀝なんかしないだろう。
Re: (スコア:0)
Strutsの地位さえ確立できなかったJavaフレームワークもあるので。
決してStruts好きじゃないけど、アグレッシブにそういうのをチョイスして、運悪くEoLになってしまうと担当者が責められ。
チョイスする側も、苦悩に満ちてるんです。。
Re: (スコア:0)
「Javaフレームワーク」ここがそもそもネックな気がしなくもない。
Re: (スコア:0)
だからといってPHPを選んだら、ここからが本当の地獄だわ・・
Re:バックオリフィスについて語ろう (スコア:0)
ストラッツを使う理由はよくわかる。
そりゃ一から土台を設計してコーディングするよりも、土台となる基礎があり且つライブラリがある
フレームワークをつかっちゃえば、工期も短くなるし「やりたいことだけ」を考えればいいので楽なので
問題は、作ったら放置する組織や団体が多い事
フレームワークをアップグレードしなきゃならない事態になっても
うわものの動きが保障できんとがほざいてそのままにするし、、、
(実態はフレームワークを理解してないだけなんだけど)
Re: (スコア:0)
>うわものの動きが保障できんとがほざいてそのままにするし、、、
これ偉い人だけじゃなく現場のリーダークラス()の技術者もそうなんだよね。
責任とりたくないから。で、何か問題あっても人のせいにする。
向上心ある人たちは外へ出て行くからどうしてもそう言う人たちが残るんだよね。
Re: (スコア:0)
まあでも互換性のないリビジョンアップを繰り返してるOSSライブラリは多いので保証は出来ませんよ。
Re: (スコア:0)
Javaが今一番人気の言語だってのが信じられないもの。
Re: (スコア:0)
Webブラウザプラグインがクソをクソで塗り固めた産業廃棄物ってだけで言語仕様とかJVM実装とか良い物と思うけど
Re:Struct 2の利用者の多さに驚き (スコア:1)
言語仕様もJVMも後続の言語に結構な影響を与えているよね
良い意味でも反面教師という意味でも
Re:Struct 2の利用者の多さに驚き (スコア:1)
> 言語仕様とかJVM実装とか良い物と思うけど
APIの充実度とVM実装はいいと思うけど、言語仕様は妥協的であまり好きじゃないなあ。
まあ、時代的に仕方がなかったということもあるかもしれないけど。
#プリミティブ型が納得いかない。
Re: (スコア:0)
>プリミティブ型が納得いかない
時代的に仕方がなかった部分の代表ですね。
当時のマシンスペックでそれなりの性能を出すために理想を諦めたところ。