So-net無料ブログ作成

不正アクセスで情報流出 日本郵便、沖縄電力、2社のオンラインショップ [ウィルス/不正アクセス]

 不正アクセスによる情報流出の報告が相次いだ。日本郵便と沖縄電力では、「Apache Struts2」の脆弱性を突かれて個人情報が流出した。これとは別の原因による流出も2件、明らかになっている。

■Apache Struts2の脆弱性を悪用した不正アクセスがまた明らかに

 Apache Struts2はWebアプリケーションを開発するためのソフトウェアフレームワークで、多数のWebサイトで採用されている。下記の関連記事でお伝えしている通り、これまでに、同ソフトの脆弱性を突く攻撃により、東京都の都税支払いサイトや住宅金融支援機構の特約料支払いサイトから、大量のクレジットカード情報が流出したことがわかっている。

■日本郵便、メールアドレス2万9000件と氏名や住所含む送り状1100件が流出

 日本郵便は14日、国際郵便の送り状などをネット上で作成できる「国際郵便マイページサービス」のサイトが不正アクセスを受け、顧客情報が流出したと発表した。日本郵便によると、12日から13日までの間にサイト上で作成された送り状1104件と、サイトに登録されているメールアドレス2万9116件が流出したおそれがある。送り状には、送り主と届け先の氏名、住所や、電話番号、荷物の内容などが記載されている。
 Apache Struts2の脆弱性を利用した不正アクセスを受け、サイト上に悪意のあるプログラムを仕込まれて流出に至った。日本郵便では13日にサイトを一時停止して対策を講じ、14日にサイトを再開した。該当者には個別に連絡を取るという。

<関連URL>
・国際郵便マイページサービス」における不正アクセス及び情報流出の可能性について[PDF](日本郵便)
http://www.post.japanpost.jp/notification/pressrelease/2017/00_honsha/0314_01_01.pdf

■沖縄電力、顧客のメールアドレスなど登録情報6000件超が流出

 沖縄電力は15日、同社Webサイト上で公開している「停電情報公開サービス」が不正アクセスを受けてコンテンツを改ざんされ、顧客のメールアドレス等が流出した可能性もあると発表した。同社によると、改ざんが行われたのは13日午後7時から9時までの間。Apache Struts2の脆弱性を利用したと思われる不正アクセスにより、コンテンツが改ざんされ、本来表示されるべき画面とは異なる情報や画像が表示される状態になっていた。また、流出した可能性があるのは、同サービスと連携する「メール配信サービス」に登録していた人の情報6478件で、メールアドレス、ニックネーム、停電情報の配信希望地域が含まれている。
 同社では改ざん発覚後に対象サーバーを停止し、原因や影響範囲の調査を続けている。情報が流出した可能性のある顧客には個別に連絡をとる。

<関連URL>
・当社Webサイトへの不正アクセスによるコンテンツの改ざんおよびお客さまEメールアドレス等の流出の可能性について[PDF](沖縄電力)
http://www.okiden.co.jp/shared/pdf/news_release/2016/170315.pdf

■ヤマサちくわ、クレジットカード情報9000件超が流出

 水産物製造販売のヤマサちくわ(愛知県豊橋市)は14日、同社が運営する「ヤマサちくわオンラインショップ」がSQLインジェクション攻撃を受け、利用者のクレジットカード情報が流出したと発表した。同社によると、2005年11月6日から2015年7月27日の間に同ショップでクレジットカード決済を行った顧客の氏名、カード番号、有効期限が9426件流出した。今年1月27日にカーの調査会社ド決済代行会社から指摘を受けて社内で調査を開始。同30日にカード決済の利用を停止し、外部の調査会社に調査を依頼して事態が判明した。対象者にはメールと郵送で謝罪と注意喚起を行っている。再発防止のため、クレジットカード情報を同社で保有しないシステムへ改良を進めていくという。

<関連URL>
・不正アクセスによる個人情報流出に関するお詫びとご報告(ヤマサちくわ)
https://yamasa.chikuwa.co.jp/info/owabi.php

■匠 オンラインショップからクレジットカード情報2000件超が流出

 家電や雑貨などを扱うオンラインショップ「匠ワールド」を運営する匠(北九州市門司区)は14日、同ショップのサーバーが不正アクセスを受け、顧客のクレジットカード情報が流出したと発表した。同社によると、外部からWebアプリケーションの脆弱性を突く攻撃を受けたことにより、2014年8月9日から、決済代行会社から流出の懸念を指摘された2016年10月19日までの間、顧客がカード決済を利用した際に入力した氏名、カード番号、有効期限が抜き取られていた。流出の対象は、この期間に同ショップでカード決済を行った顧客2027件と、2010年3月15日から2014年3月15日の間に同社に問い合わせを行ってカード決済を利用した顧客12件。
 同社では指摘を受けた後にオンラインショップを一時閉鎖し、外部の調査会社に調査を依頼。その結果、事態が判明した。ショップ再開後もカード決済は取り扱っていない。同社は対象の顧客に、カードの利用明細を確認してほしいと呼びかけている。

<関連URL>
・「匠ワールド」への不正アクセスの懸念についてご報告とお詫び[PDF](匠)
http://www.takumiworld.jp/files/twhp_oshirase_20170313.pdf

(2017/03/17 セキュリティ通信)

【関連記事:セキュリティ通信】
・情報流出事故相次ぐ――都税と住宅金融機構のクレカ支払いサイト、ジェトロ、法政大(2017/03/14)
http://security-t.blog.so-net.ne.jp/2017-03-14-2