Black Duck、Apache Strutsの脆弱性を自動的に検出可能な無料提供ツールを発表

(本リリースは、2017年9月21日にBlack Duck Software, Inc.から配信されたプレスリリースの日本語概要版です)。

 

2017927

 

オープンソースの安全性確保と管理の自動化ソリューションの分野で世界最大手のBlack Duck Software, Inc. (日本法人:ブラック・ダック・ソフトウェア株式会社、東京都渋谷区、以下Black Duck)は本日、企業・組織がApache Strutsの脆弱性リスクの有無を判断できるようにするツール「Threat Check for Strutsを無料で配布すると発表しました。この脆弱性は、米Equifax(以下Equifax) のデータ漏洩の原因として先頃大きく報じられました。

Threat Check for Strutsはアプリケーションまたはコンテナを迅速かつ正確に分析し、Strutsの脆弱性を検出します。検出される脆弱性には、Equifaxが攻撃を受け、14,300万人の消費者の個人データが盗まれるという被害をもたらしたCVE-2017-5638も含まれています。Black Duckは、Threat Check for Strutsの無料提供を通じて、現在の問題にできる限り迅速に対処することを企業に推奨しています。

 

Black Duckの代表取締役社長兼CEOLou Shipleyは次のようにコメントしています。

Equifaxのデータ漏洩はあってはならないことでした。同社は、事前にそういうことがあり得るとわかっていたのですから。攻撃があったときには、悪用されたApache Strutsの脆弱性に対するパッチが提供されてから2か月が経過していたのに、そのパッチが適用されていなかったのです。既知の、修復可能な脆弱性に何も対応していないという事例が、残念ながらまたも繰り返されたのです。Apache Strutsは、教育や行政、金融サービス、小売り、メディアなどの分野の企業ウェブサイトやウェブアプリケーションを構築する目的で多くのFortune 100企業で使用され、そのオープンソースソフトウェアの80%から90%は最新のアプリケーションで使用されているコードで構成されています。しかし、ほとんどの企業・組織では、使用しているオープンソースについてはあまり可視化されていません。オープンソースの既知の脆弱性に対するパッチや修正があるときでも、ほとんどの企業・組織には、オープンソースを自動的に識別および監視するプロセスが導入されていないのが現状です。そのため脆弱性が内在するオープンソースコンポーネントを使用していること、あるいはそれらの修正が可能であることを知らずにいることがよくあります。Black Duckは、Equifaxよりも金額や規模の大きな被害をもたらす新たな攻撃が発生するのを避けたいと考え、今回の無料ツールの提供に至りました」