Apache Strutsの脆弱性リスク判断ツールを無償提供

Black Duck Software(以下、Black Duck)は、企業・組織が「Apache Struts」の脆弱性リスクの有無を判断できるようにするツール「Threat Check for Struts」を無料で配布すると発表した。

Threat Check for Strutsはアプリケーションまたはコンテナを迅速かつ正確に分析し、Strutsの脆弱性を検出する。検出される脆弱性には、米信用情報会社Equifaxが攻撃を受け、1億4,300万人の個人情報が盗まれるという被害をもたらした「CVE-2017-5638」も含まれている。

Black Duckは、Threat Check for Strutsの無料提供を通じて、現在の問題にできる限り迅速に対処することを企業に推奨している。

Black Duckの代表取締役社長兼CEOのLou Shipleyは次のようにコメントしている。

「Equifaxのデータ漏えいはあってはならないことだった。同社は、事前にそういうことがあり得るとわかっていたからだ。攻撃があったときには、悪用されたApache Strutsの脆弱性に対するパッチが提供されてから2か月が経過していたのに、そのパッチを適用していなかった。既知の修復可能な脆弱性に何も対応していないという事例が、残念ながらまた繰り返された。

Apache Strutsは、教育や行政、金融サービス、小売り、メディアなどの分野の企業WebサイトやWebアプリケーションを構築する目的で多くのFortune 100企業で使用され、そのオープンソースソフトウェアの80%から90%は最新のアプリケーションで使用されているコードで構成されている。

しかし、ほとんどの企業・組織では、使用しているオープンソースについてはあまり可視化されていない。オープンソースの既知の脆弱性に対するパッチや修正があるときでも、ほとんどの企業・組織には、オープンソースを自動的に識別および監視するプロセスが導入されていないのが現状だ。そのため脆弱性が内在するオープンソースコンポーネントを使用していること、あるいはそれらの修正が可能であることを知らずにいることがよくある。

Black Duckは、Equifaxよりも金額や規模の大きな被害をもたらす新たな攻撃が発生するのを避けたいと考え、今回の無料ツールを提供することにした」