ヒーロー背景(区切りなし)
ブログ

修补反序列化漏洞的困难

ピーテル・デ・クレマー
2017年9月11日 掲載
最終更新日: 2026年3月9日
应用程序安全
安全编码技术
开发人员培训
ビデオ再生ボタン。
ビデオ再生ボタン。

先週、Equifax社のデータ流出の背景には、Apache Struts RESTプラグインの脆弱性があることが報告されました。古いバージョンのプラグインは、XMLペイロードを処理するXStreamハンドラと一緒に使用されると、リモートコード実行攻撃を受ける可能性があります。原因は、信頼されていないデータのデシリアライゼーションであり、これはよく知られた脆弱性のタイプです。この脆弱性は、CVE-2017-9805として正式に認識されており、Apacheが9月5日にStrutsのバージョン2.5.13でパッチを適用しました。その後、Apache Strutsのドキュメントで発表され、明確に文書化されました。

Strutsの最新バージョンにアップグレードするだけで、この攻撃からアプリケーションを守ることができるのに、なぜ企業はすぐにアップグレードしないのでしょうか?デシリアライゼーションの脆弱性の問題点は、悪用されるルーチンが、アプリケーションコードが依存しているルーチンであることが多いことです。この場合、Strutsの新しいパッチを適用すると、副作用が生じる可能性があります。この脆弱性に関する文書には、"It is possible that some REST actions stop working because of applied default restrictions on available classes. "と記載されています。新しいバージョンのStrutsでアプリケーションが動作し続けることを確認するには、時間がかかる可能性が高いです。

しかし、ハッカーたちは、公開された脆弱性を悪用し始めるのに、それほど時間を必要とせず、すでにいくつかの悪用法が公開されています。Metasploitのモジュールは9月8日に追加されましたが、これはApacheが脆弱性にパッチを当ててから3日後のことです。パッチを先延ばしにするのは、明らかに良くありません。

解決策としては、Apacheが提案する回避策を実装することで、より短期間での対応が可能になります。この回避策を実施する、あるいは自動的に適用するための設定可能なコーディングガイドラインを備えたセキュリティツールがあれば、このプロセスを大幅に短縮することができます。

信頼されていないデータのデシリアライズを含むコードを識別して安全にする方法について、もっと知りたいと思いませんか?Secure Code Warrior ポータルにアクセスして、わかりやすい説明とトレーニングの課題をご覧ください。

この脆弱性は、Strutsがこの種のデータをどのように解析し、Javaプログラミング言語で解釈可能な情報に変換するかに関係しています。この脆弱性がうまく利用されると、悪意のあるコードがそのようなデータの中に隠され、Strutsがそのデータを変換しようとしたときに実行されてしまいます。

https://qz.com/1073221/the-hackers-who-broke-into-equifax-exploited-a-nine-year-old-security-flaw/

リソースを確認する
リソースを確認する

该漏洞与 Struts 如何解析此类数据并将其转换为 Java 编程语言可以解释的信息有关。

もっと知りたいですか?

アプリケーション・セキュリティ・リサーチャー、R&Dエンジニア、博士号取得者

もっと詳しく

Secure Code Warriorは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を醸成するお手伝いをします。AppSecマネージャー、開発者、最高情報セキュリティ責任者(CISO)、あるいはセキュリティに関わるあらゆる方々の組織において、不安全なコードに関連するリスクの低減を支援します。

デモを予約する
共有する:
リンクトインのブランドソーシャルx ロゴ
作者
ピーテル・デ・クレマー
2017年9月11日発行

アプリケーション・セキュリティ・リサーチャー、R&Dエンジニア、博士号取得者

共有する:
リンクトインのブランドソーシャルx ロゴ
ビデオ再生ボタン。
ビデオ再生ボタン。

先週、Equifax社のデータ流出の背景には、Apache Struts RESTプラグインの脆弱性があることが報告されました。古いバージョンのプラグインは、XMLペイロードを処理するXStreamハンドラと一緒に使用されると、リモートコード実行攻撃を受ける可能性があります。原因は、信頼されていないデータのデシリアライゼーションであり、これはよく知られた脆弱性のタイプです。この脆弱性は、CVE-2017-9805として正式に認識されており、Apacheが9月5日にStrutsのバージョン2.5.13でパッチを適用しました。その後、Apache Strutsのドキュメントで発表され、明確に文書化されました。

Strutsの最新バージョンにアップグレードするだけで、この攻撃からアプリケーションを守ることができるのに、なぜ企業はすぐにアップグレードしないのでしょうか?デシリアライゼーションの脆弱性の問題点は、悪用されるルーチンが、アプリケーションコードが依存しているルーチンであることが多いことです。この場合、Strutsの新しいパッチを適用すると、副作用が生じる可能性があります。この脆弱性に関する文書には、"It is possible that some REST actions stop working because of applied default restrictions on available classes. "と記載されています。新しいバージョンのStrutsでアプリケーションが動作し続けることを確認するには、時間がかかる可能性が高いです。

しかし、ハッカーたちは、公開された脆弱性を悪用し始めるのに、それほど時間を必要とせず、すでにいくつかの悪用法が公開されています。Metasploitのモジュールは9月8日に追加されましたが、これはApacheが脆弱性にパッチを当ててから3日後のことです。パッチを先延ばしにするのは、明らかに良くありません。

解決策としては、Apacheが提案する回避策を実装することで、より短期間での対応が可能になります。この回避策を実施する、あるいは自動的に適用するための設定可能なコーディングガイドラインを備えたセキュリティツールがあれば、このプロセスを大幅に短縮することができます。

信頼されていないデータのデシリアライズを含むコードを識別して安全にする方法について、もっと知りたいと思いませんか?Secure Code Warrior ポータルにアクセスして、わかりやすい説明とトレーニングの課題をご覧ください。

この脆弱性は、Strutsがこの種のデータをどのように解析し、Javaプログラミング言語で解釈可能な情報に変換するかに関係しています。この脆弱性がうまく利用されると、悪意のあるコードがそのようなデータの中に隠され、Strutsがそのデータを変換しようとしたときに実行されてしまいます。

https://qz.com/1073221/the-hackers-who-broke-into-equifax-exploited-a-nine-year-old-security-flaw/

リソースを確認する
リソースを確認する

以下のフォームに記入してレポートをダウンロードしてください

当社は、当社の製品および/または関連するセキュリティコードに関する情報を送信するため、お客様の許可を得たいと考えております。お客様の個人情報は常に慎重に取り扱い、マーケティング目的で他社に販売することは決してありません。

提出
SCW アイコン
ダウンロードありがとうございます!
その他のリソース
SCWエラーアイコン
フォームを送信するには、「分析」Cookieを有効にしてください。完了後、いつでも再度無効にできます。
ビデオ再生ボタン。
ビデオ再生ボタン。

先週、Equifax社のデータ流出の背景には、Apache Struts RESTプラグインの脆弱性があることが報告されました。古いバージョンのプラグインは、XMLペイロードを処理するXStreamハンドラと一緒に使用されると、リモートコード実行攻撃を受ける可能性があります。原因は、信頼されていないデータのデシリアライゼーションであり、これはよく知られた脆弱性のタイプです。この脆弱性は、CVE-2017-9805として正式に認識されており、Apacheが9月5日にStrutsのバージョン2.5.13でパッチを適用しました。その後、Apache Strutsのドキュメントで発表され、明確に文書化されました。

Strutsの最新バージョンにアップグレードするだけで、この攻撃からアプリケーションを守ることができるのに、なぜ企業はすぐにアップグレードしないのでしょうか?デシリアライゼーションの脆弱性の問題点は、悪用されるルーチンが、アプリケーションコードが依存しているルーチンであることが多いことです。この場合、Strutsの新しいパッチを適用すると、副作用が生じる可能性があります。この脆弱性に関する文書には、"It is possible that some REST actions stop working because of applied default restrictions on available classes. "と記載されています。新しいバージョンのStrutsでアプリケーションが動作し続けることを確認するには、時間がかかる可能性が高いです。

しかし、ハッカーたちは、公開された脆弱性を悪用し始めるのに、それほど時間を必要とせず、すでにいくつかの悪用法が公開されています。Metasploitのモジュールは9月8日に追加されましたが、これはApacheが脆弱性にパッチを当ててから3日後のことです。パッチを先延ばしにするのは、明らかに良くありません。

解決策としては、Apacheが提案する回避策を実装することで、より短期間での対応が可能になります。この回避策を実施する、あるいは自動的に適用するための設定可能なコーディングガイドラインを備えたセキュリティツールがあれば、このプロセスを大幅に短縮することができます。

信頼されていないデータのデシリアライズを含むコードを識別して安全にする方法について、もっと知りたいと思いませんか?Secure Code Warrior ポータルにアクセスして、わかりやすい説明とトレーニングの課題をご覧ください。

この脆弱性は、Strutsがこの種のデータをどのように解析し、Javaプログラミング言語で解釈可能な情報に変換するかに関係しています。この脆弱性がうまく利用されると、悪意のあるコードがそのようなデータの中に隠され、Strutsがそのデータを変換しようとしたときに実行されてしまいます。

https://qz.com/1073221/the-hackers-who-broke-into-equifax-exploited-a-nine-year-old-security-flaw/

ウェビナーを視聴する
始めましょう
もっと詳しく

以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。

Secure Code Warriorは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を醸成するお手伝いをします。AppSecマネージャー、開発者、最高情報セキュリティ責任者(CISO)、あるいはセキュリティに関わるあらゆる方々の組織において、不安全なコードに関連するリスクの低減を支援します。

レポートを確認するデモを予約する
PDFをダウンロード
リソースを確認する
共有する:
リンクトインのブランドソーシャルx ロゴ
もっと知りたいですか?

共有する:
リンクトインのブランドソーシャルx ロゴ
作者
ピーテル・デ・クレマー
2017年9月11日発行

アプリケーション・セキュリティ・リサーチャー、R&Dエンジニア、博士号取得者

共有する:
リンクトインのブランドソーシャルx ロゴ

先週、Equifax社のデータ流出の背景には、Apache Struts RESTプラグインの脆弱性があることが報告されました。古いバージョンのプラグインは、XMLペイロードを処理するXStreamハンドラと一緒に使用されると、リモートコード実行攻撃を受ける可能性があります。原因は、信頼されていないデータのデシリアライゼーションであり、これはよく知られた脆弱性のタイプです。この脆弱性は、CVE-2017-9805として正式に認識されており、Apacheが9月5日にStrutsのバージョン2.5.13でパッチを適用しました。その後、Apache Strutsのドキュメントで発表され、明確に文書化されました。

Strutsの最新バージョンにアップグレードするだけで、この攻撃からアプリケーションを守ることができるのに、なぜ企業はすぐにアップグレードしないのでしょうか?デシリアライゼーションの脆弱性の問題点は、悪用されるルーチンが、アプリケーションコードが依存しているルーチンであることが多いことです。この場合、Strutsの新しいパッチを適用すると、副作用が生じる可能性があります。この脆弱性に関する文書には、"It is possible that some REST actions stop working because of applied default restrictions on available classes. "と記載されています。新しいバージョンのStrutsでアプリケーションが動作し続けることを確認するには、時間がかかる可能性が高いです。

しかし、ハッカーたちは、公開された脆弱性を悪用し始めるのに、それほど時間を必要とせず、すでにいくつかの悪用法が公開されています。Metasploitのモジュールは9月8日に追加されましたが、これはApacheが脆弱性にパッチを当ててから3日後のことです。パッチを先延ばしにするのは、明らかに良くありません。

解決策としては、Apacheが提案する回避策を実装することで、より短期間での対応が可能になります。この回避策を実施する、あるいは自動的に適用するための設定可能なコーディングガイドラインを備えたセキュリティツールがあれば、このプロセスを大幅に短縮することができます。

信頼されていないデータのデシリアライズを含むコードを識別して安全にする方法について、もっと知りたいと思いませんか?Secure Code Warrior ポータルにアクセスして、わかりやすい説明とトレーニングの課題をご覧ください。

この脆弱性は、Strutsがこの種のデータをどのように解析し、Javaプログラミング言語で解釈可能な情報に変換するかに関係しています。この脆弱性がうまく利用されると、悪意のあるコードがそのようなデータの中に隠され、Strutsがそのデータを変換しようとしたときに実行されてしまいます。

https://qz.com/1073221/the-hackers-who-broke-into-equifax-exploited-a-nine-year-old-security-flaw/

目次

PDFをダウンロード
リソースを確認する
もっと知りたいですか?

アプリケーション・セキュリティ・リサーチャー、R&Dエンジニア、博士号取得者

もっと詳しく

Secure Code Warriorは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を醸成するお手伝いをします。AppSecマネージャー、開発者、最高情報セキュリティ責任者(CISO)、あるいはセキュリティに関わるあらゆる方々の組織において、不安全なコードに関連するリスクの低減を支援します。

デモを予約するダウンロード
共有する:
リンクトインのブランドソーシャルx ロゴ
リソースセンター

入門に役立つリソース

さらに多くの投稿

Secure Code Warrior Learning: Enable Secure AI-Driven Development at Scale

Secure code for the AI era: Learn how Secure Code Warrior builds developer capability to reduce vulnerabilities and secure AI-generated code at scale.

さらに詳しく知る
Apr 27, 2026
Icon depicting a stack of documents against a blue-to-magenta gradient background
ポケットベル
ポケットベル

Trust Agent:AI - Secure and scale AI-Drive development

AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.

Apr 1, 2026
ポケットベル

OpenText アプリケーションセキュリティのパワー + Secure Code Warrior

OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.

2026年3月23日
ポケットベル

Secure Code Warrior corporate overview

Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.

Mar 19, 2026
リソースセンター

入門に役立つリソース

さらに多くの投稿

Enabler 3: Developer Communications Plan

Keep developers engaged in your secure coding program with a strong communications plan. Learn to highlight benefits, set the right tone, and celebrate wins.

さらに詳しく知る
Apr 16, 2026
Header graphic for the Secure Code Warrior "Enablers of Success Series" featuring the text "Developer Communications Plan" on a blue background with abstract circuit board lines.
ブログ
ブログ

The Agentic Era Arrived Early. Don’t Get Caught Off Guard by Late AI Governance.

Anthropic's Claude Mythos represents a permanent, fundamental shift in how every security leader must approach their security program, especially with patch management of legacy systems.

Apr 10, 2026
ブログ

Enabler 2: Senior Leadership Sponsorship

Explore Enabler 2: Senior Leadership Sponsorship. Learn why active buy-in from the CIO, CTO, and CISO is vital to drive developer adoption and program credibility.

Mar 19, 2026
ブログ

サイバーモンが帰ってきた:ボスAIを倒すミッションがオンデマンドで提供開始

Cybermon 2025 ボス撃破イベントがSCWで通年開催中。高度なAI/LLMセキュリティ対策、大規模モデルによるセキュリティAI開発の強化。

2026年3月5日