パスワードを忘れた? アカウント作成
13197629 story
パテント

特許情報プラットフォーム、サービス停止の原因はApache Struts 2の脆弱性を狙った攻撃だった 31

ストーリー by headless
復旧 部門より
独立行政法人 工業所有権情報・研修館は16日、特許情報プラットフォーム(J-PlatPat)サービスを17日9時までに再開することを発表した。サービスは17日時点で利用可能になっている。

J-PlatPatは外部からの攻撃が検知されたため9日からサービスを停止しており、再開に向けたセキュリティ対策などを進めていた。攻撃はApache Struts 2の脆弱性を狙ったものだったが、同サービスは特許など公開された情報のみを提供するものであることから、個人情報の漏洩は発生しなかったとのこと。17日以降予定されていたメンテナンスおよび機能追加・改善は延期となる。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • J-STAGEサービス再開に際してのお詫び [jst.go.jp]

    J-STAGEは、3月8日に外部からの攻撃を検知したため、サービスを停止し、セキュリティ対応のための緊急メンテナンスを行いましたが、本日3月15日、対策を完了し、安全性を確認したうえで、サービスを再開致しました。(略)なお、個人情報の漏洩は無かったことを確認致しております。

    公表されている攻撃日が特許情報プラットフォーム(J-PlatPat)サービスの前日なのだけど、まさかと思ったら、やっぱりそうなのか [hatena.ne.jp]。

    --
    「ごめん、今ポケゴ―で忙しい」
  • by Anonymous Coward on 2017年03月18日 13時40分 (#3178668)

    検索結果をURLで指定できるようになる神アップデート延期か…。

  • by Anonymous Coward on 2017年03月18日 14時08分 (#3178684)

    Apache Struts 関連の問題は年末からうわさをされてたんですが大手で実害がでたせい
    (おかげ)で各メーカー進展がなかった問題のある製品の一斉アップデートがやっとされた
    というかんじです

    やっぱ通信の可視化ができる装置をネットワークの間に挟んでいると、傾向が見えるってのは
    ありがたい

  • by Anonymous Coward on 2017年03月18日 14時40分 (#3178691)

    問題が発生し(且つ、何かしらの攻撃を受けて)てからじゃないと行動しない人が多いね。
    「早い所対応した方がいいでっせ、旦那!」と声を掛けても、腰が重くて動かないとどうなるか。
    もっと痛い目に遭わないとダメなような気もしますが。
    (一番困るのは国民だけど)

    • by Anonymous Coward on 2017年03月18日 14時52分 (#3178701)

      社会人になればわかると思いますが
      行動する人には方針決定の権限がないものです

      権限を持つ上席が有能なことは
      とても運のよい環境であり
      大抵はあなたのおっしゃるような
      愚かしい方が権限を持っているものなのです

      あなたのような主張を上席にした場合
      大抵の職場では下記のような理由で
      有害な要員と見做されます

      ・不都合な事実を主張した
      ・不都合な未来を述べた
      ・現時点で実害を被っていない
      ・対処したところで実績にならない
      ・そもそも理解できない
      ・etc...

      そういった環境に携わらないのが最適解ですので
      職探しの参考になさってください

      # 個人サーバーでApache Struts使ってるようなやつはしらん

      親コメント
    • by Anonymous Coward on 2017年03月18日 16時32分 (#3178737)

      今となっては、問題が発生して慌てて行動する人はまだマシなレベルです。

      この世には大問題が発生しても、
      「(事前にさんざん忠告したにもかかわらず)俺は聞いていない」
      「お前らが悪いんだからお前らが全責任を負え」
      という、まるで聳え立つクソのような上司や経営者が多くいらっしゃるのですよ。

      で上役や株主には「担当者を処分しました」と堂々と発表して幕引きという、
      どこにも救いのない現実があったりするわけで・・

      親コメント
      • 社内で責任を押し付けあう分には(外野から見ている限り)勝手にどうぞだけれど、
        日本の場合は無関係な第三者を告発して終わりにする場合があるから恐ろしい。
        親コメント
      • by Anonymous Coward

        まあStruts使ってたとこはこれしか無かったので「絶対行くな!」ですね。

      • by Anonymous Coward

        うわー。うちみたい。
        何かあって責任問題ということになれば、後始末も何もかも放り出して辞めようと思ってます。

        • by Anonymous Coward

          そこまで糞だと恥ずかしげもなく賠償請求まで吹っかけて来かねないから、
          「問題が発生し(且つ、何かしらの攻撃を受けて)てからじゃないと行動しない」
          のでは手遅れですよ。

          # なんつうかこの文脈でこんなこと言われると、同類なんですねとしか……

    • by Anonymous Coward

      で、これに対応するために検証抜きでリリースして(今回GMOの件でそうしないと間に合わないことがはっきりした)何か起きたらまた叩くんでしょ?

      • by Anonymous Coward

        叩かれるからって検証を省いてリリースする行為自体、叩かれて当然じゃないですか。
        そんなに叩かれたいのですか。あなたは熱心なクルセイダーさんですね。

        • by Anonymous Coward

          > そんなに叩かれたいのですか。あなたは熱心なクルセイダーさんですね。

          普通なら何を言ってるんだお前となるんだが。
          困ったことに誰のことか想像が付くよ……

      • by Anonymous Coward

        リリースまでしなくても、システム止めてメンテナンス画面出すことで時間稼ぎは出来るかな。
        攻撃前に、それが必要なレベルか否かの判断を如何に迅速に行えるようにするかが肝か。

        というか、検証抜きリリースなら間に合ってたのだろうか?
        3/9 18:00に情報を受け取り、3/9 21:56に取り敢えずの対策が完了している。
        その後の対策は、被害の確認、被害からの二次災害対策、抜本対策のようだから、
        被弾自体は3/9 21:56より前っぽいんだが…。いつの時点で攻撃されたのかって情報は出てるっけ?

  • by Anonymous Coward on 2017年03月18日 14時46分 (#3178696)

    はてなブックマークとかhacker newsとかじゃ一切話題にならないんだけどね。

    ブログ書くようなエンジニアの分布ってやっぱり偏りがあるのがわかるね。

    • by Anonymous Coward

      前者はそもそも住人自体に偏りがある。
      「ブログ書くような」ではなくはてなを好む人自体が偏ってるのです。
      そういう意味では2chのほうが多様性がある。

    • by Anonymous Coward

      スペル違うからそういうのをカバーできない検索だとひっかからんかもね

      • by Anonymous Coward

        ああミスった。つい手癖でよく使う単語を打ってしまった…。

    • by Anonymous Coward

      Strutsのようなヘビー級のフレームワークを使うのはいわゆる大きめの企業なんかが多そう。開発はいわゆるSI系みたいな。
      そうなるとSI系をバカにしている人が多いはてな界隈とかだとそもそもStrutsが視界に入っていない気がする。

    • by Anonymous Coward

      いわゆるITゼネコンでStruts 2使ってるところは多いよ。
      Java開発といえば Hibernate+Strutsで、それを習得しているのがJava技術者である、
      という時代からの流れだろうね。

      まあ、ドカタJava技術者が書いてるブログというのは無いだろうな。
      大手の仕事は情報漏洩をしつこく気にするから、自然と控えるというのもあるけど、
      そもそも自分が、世の技術動向からするとまったくイケてないという自覚はあるわけで、
      わざわざ披瀝なんかしないだろう。

      • by Anonymous Coward

        Strutsの地位さえ確立できなかったJavaフレームワークもあるので。
        決してStruts好きじゃないけど、アグレッシブにそういうのをチョイスして、運悪くEoLになってしまうと担当者が責められ。

        チョイスする側も、苦悩に満ちてるんです。。

        • by Anonymous Coward

          「Javaフレームワーク」ここがそもそもネックな気がしなくもない。

          • by Anonymous Coward

            だからといってPHPを選んだら、ここからが本当の地獄だわ・・

    • ストラッツを使う理由はよくわかる。
      そりゃ一から土台を設計してコーディングするよりも、土台となる基礎があり且つライブラリがある
      フレームワークをつかっちゃえば、工期も短くなるし「やりたいことだけ」を考えればいいので楽なので

      問題は、作ったら放置する組織や団体が多い事
      フレームワークをアップグレードしなきゃならない事態になっても
      うわものの動きが保障できんとがほざいてそのままにするし、、、
      (実態はフレームワークを理解してないだけなんだけど)

      • by Anonymous Coward

        >うわものの動きが保障できんとがほざいてそのままにするし、、、
        これ偉い人だけじゃなく現場のリーダークラス()の技術者もそうなんだよね。
        責任とりたくないから。で、何か問題あっても人のせいにする。
        向上心ある人たちは外へ出て行くからどうしてもそう言う人たちが残るんだよね。

      • by Anonymous Coward

        まあでも互換性のないリビジョンアップを繰り返してるOSSライブラリは多いので保証は出来ませんよ。

    • by Anonymous Coward

      Javaが今一番人気の言語だってのが信じられないもの。

      • by Anonymous Coward

        Webブラウザプラグインがクソをクソで塗り固めた産業廃棄物ってだけで言語仕様とかJVM実装とか良い物と思うけど

        • by Anonymous Coward on 2017年03月19日 18時21分 (#3179100)

          言語仕様もJVMも後続の言語に結構な影響を与えているよね
          良い意味でも反面教師という意味でも

          親コメント
        • > 言語仕様とかJVM実装とか良い物と思うけど

          APIの充実度とVM実装はいいと思うけど、言語仕様は妥協的であまり好きじゃないなあ。
          まあ、時代的に仕方がなかったということもあるかもしれないけど。
          #プリミティブ型が納得いかない。

          親コメント
          • by Anonymous Coward

            >プリミティブ型が納得いかない
            時代的に仕方がなかった部分の代表ですね。
            当時のマシンスペックでそれなりの性能を出すために理想を諦めたところ。

typodupeerror

人生unstable -- あるハッカー

読み込み中...