Webサイトが不正アクセスを受け、個人情報やクレジットカードの情報、メールアドレスが流出する事故が相次いで発生した。同一事業者が運営する、都税の支払いサイトおよび住宅金融支援機構の団信特約料支払サイトからは、「Apache Struts 2」の脆弱性を突かれてクレジットカード情報があわせて72万件流出した。うち4万3500件超にはセキュリティコードも含まれている。
■脆弱性公表直後に始まった攻撃――個人ユーザーにも“他山の石”
Apache Struts 2は、Webアプリケーションを開発するためのソフトウェアフレームワークで、多数のWebサイトで採用されている。同ソフトをめぐっては6日、開発元のApache Software Foundationが、任意のコードが実行可能な危険度の高い脆弱性が存在することを公表。間をおかずに、同脆弱性を悪用する攻撃が始まってしまった。問題を修正した更新版は8日に正式公開されているが、更新の適用前にはテストが必要なこともあり、対応が遅れたサイトが被害にあってしまっている。
なお、今回のように、脆弱性情報が公開されてからすぐに悪用が始まるという事態は、Flash PlayerやJRE(Java Runtime Environment:Java実行環境)でもたびたび発生している。Apache Struts 2の問題はサイトの運営者が対処しなければならないものだが、Flash PlayerやJREについては、一般ユーザーが自ら気をつけなければならない。脆弱性を抱えた、古いバージョンのソフトウェアを使い続けることのないようにしていただきたい。
■「都税支払」「団信特約料支払」サイト――クレカ情報計72万件流出のおそれ
インターネットを利用してクレジットカードで都税を納付できる「都税クレジットカードお支払いサイト」と、住宅金融支援機構の「団体信用生命保険特約料クレジットカード支払いサイト」が不正アクセスを受け、クレジットカード情報などが流出した可能性があることがわかった。両サイトの運営を受託しているGMOペイメントゲートウェイが10日、明らかにした。
同社によると、Apache Struts2の脆弱性を悪用する不正アクセスを受け、流出に至った。情報処理推進機構(IPA)やJPCERTなどが8日に公開した注意喚起を受け、9日にシステムへの影響を調査した結果、事態が判明したという。
・都税クレジットカードお支払いサイト
都の指定代理納付者であるトヨタファイナンスが都から同サイトの運営を受託し、GMOペイメントゲートウェイに再委託している。両社と都の発表によると、2015年4月から今年3月9日午後11時53分までに同サイトを利用した人のカード番号と有効期限67万6290件が流出したおそれがある。うち61万4629件についてはメールアドレスも含まれている。カード番号は暗号化処理されているという。
・住宅金融支援機構 団信特約料クレジットカード払いサイト
同機構から委託を受けたGMOペイメントゲートウェイがサイトの運営を行っている。カード番号、有効期限、セキュリティコード、カード払い申込日、住所、氏名、電話番号、生年月日が4万3540件流出したおそれがあり、うち一部ではこれらに加えてメールアドレスや加入月も流出している。
GMOペイメントゲートウェイによると、流出件数は両サイトとも最大値で、現在、実際の流出数を精査中。また、この件との関連は不明だが、「あなたのクレジットカード情報が流出しました。至急対策する必要があるのでクレジットカード番号やセキュリティコードを教えてください」という電話があったとの情報が同社に寄せられているとして、注意を呼びかけている。
■日本貿易振興機構サイトからメールアドレス2万6000件超流出のおそれ
日本貿易振興機構(ジェトロ)は8日、サイトの「相談利用者様登録ページ」が外部から攻撃を受け、一部の情報が消去されたと発表した。消去された情報の中にはメールアドレス2万6708件も含まれており、これが流出したおそれもあるという。該当者に対し二次的な標的メール送付等の可能性があることから、同機構では該当のメールアドレスに通知のメールを送信している。この件によるものと考えられる二次被害は報告されていない。
■法政大サイトから学生や職員などの個人情報4万3000件超が流出
法政大学は10日、学内のサーバーが不正アクセスを受け、学生、教職員、委託業者のアカウント情報4万3103件が流出したと発表した。1月10日と2月7日に、学外からの不正なVPN接続による学内ネットワークへのポートスキャンが確認されたことから、調査を実施。その結果、2016年12月8日に何者かが、全学生、教職員、委託業者のアカウント情報を保有するアカウント管理サーバーから、全アカウント情報を取得していたことが判明した。これにより、勤務員番号/学生証番号、氏名(漢字、ローマ字)、大学付与メールアドレス、教員・職員・学生の別、所属、暗号化されたパスワードが流出した可能性がある。これらが悪用された二次的被害は確認されていない。同大学では、対象者にこの件を報告して謝罪するとともに、パスワードの変更を依頼している。
(2017/03/14 ネットセキュリティニュース)
【関連URL】
<Apache Struts 2関連>
・Apache Struts2 に任意のコードが実行可能な脆弱性(JVN)
http://jvn.jp/vu/JVNVU93610402/
・Apache Struts 2 の脆弱性 (S2-045) に関する注意喚起(JPCERT/CC)
http://www.jpcert.or.jp/at/2017/at170009.html
・Apache Struts2 の脆弱性対策について(CVE-2017-5638)(S2-045)(IPA)
http://www.ipa.go.jp/security/ciadr/vul/20170308-struts.html
・Apache Struts 2における脆弱性 (S2-045、CVE-2017-5638)の被害拡大について(ラック)
https://www.lac.co.jp/lacwatch/alert/20170310_001246.html
・Apache Struts 2の脆弱性「CVE-2017-5638」、遠隔で任意コード実行が可能に(トレンドマイクロセキュリティブログ)
http://blog.trendmicro.co.jp/archives/14566
<東京都および住宅金融支援機構関連>
・「都税クレジットカードお支払サイト」における不正アクセスについて[PDF](東京都主税局)
http://www.tax.metro.tokyo.jp/oshirase/2017/20170310.pdf
・事務委託先であるGMOペイメントゲートウェイ株式会社のシステムへの不正アクセス及び個人情報流出について(住宅金融支援機構)
http://www.jhf.go.jp/topics/topics_20170310_im.html
・不正アクセスに関するご報告とお詫び(トヨタファイナンス)
http://www.toyota-finance.co.jp/oshirase/detail.php?id=1378
・不正アクセスに関するご報告と情報流出のお詫び(GMOペイメントゲートウェイ)
https://corp.gmo-pg.com/news_em/20170310.html
<日本貿易振興機構関連>
・当機構Webサイト攻撃によるメールアドレス情報の窃取の可能性について(日本貿易振興機構)
https://www.jetro.go.jp/news/announcement/2017/694a96ddf47971f2.html
<法政大学関連>
・法政大学への不正アクセスによる情報漏えい被害に関するお詫びとお知らせ(法政大学)
http://www.hosei.ac.jp/NEWS/gaiyo/170310_01.html