So-net無料ブログ作成

サーバーソフトの欠陥による個人情報流出、国交省や総務省のサイトでも [情報漏洩]

サーバーソフトウェア「Apache Struts 2」の脆弱性を突く攻撃で、国交省のサイトから個人情報が最大で4335件流出した可能性があることが6日、発表された。3月に同ソフトの欠陥が明らかになって以降、この悪用による被害がさまざまなサイトで発生している。

 下記の関連記事でお伝えしている通り、これまでに都税や住宅金融支援機構のクレジットカード支払いサイト、日本郵便の国際郵便マイページサービス、沖縄電力、プロバスケットボールリーグ「B.LEAGUE」のチケットサイトなどから情報が流出しており、クレジットカードの不正利用も発生している。

 「Apache Struts 2」はWebアプリケーションを開発するためのソフトウェアのひとつで、開発元が3月6日、同ソフトに任意のコードが実行可能な危険度の高い問題があることを公表。間をおかずに、同脆弱性を悪用する攻撃が始まってしまった。同8日には問題を修正した更新版が正式公開されたが、対応の遅れたサイトが攻撃を受け、被害にあっている。

■国交省「土地総合情報システム」から情報20万件流出のおそれ

 国土交通省は6日、不動産の取引に関する情報を掲載している「土地総合情報システム」が不正アクセスを受け、「不動産取引価格アンケート」に電子回答した人の個人情報最大4355件と、所有権移転登記情報最大19万4834件が流出したおそれがあると発表した。

 Apache Struts2の脆弱性を利用した不正アクセスを受け、「不動産取引価格アンケート回答」サイトに悪意のあるプログラムが仕込まれたことが原因。

 流出のおそれがある個人情報は、4月7日から6月2日に同アンケートに電子回答した人の氏名、法人名、契約日、取引価格等。また登記情報には、登記原因日、地番、地目、面積(登記名義人の名称を除く)が含まれている。ただし、登記情報は登記所等においても入手可能な情報。

 「土地総合情報システム」の電子回答システムは2日から停止されている。同省は、個人情報流出の有無について調査を実施するとともに、システム監視の強化および再発防止のための対策を検討しているという。

・「土地総合情報システム」における不正アクセスおよび情報流出の可能性について(国交省)
http://www.mlit.go.jp/report/press/totikensangyo05_hh_000129.html

■情報通信研究機構から378名分のメールアドレス等流出のおそれ

 情報通信研究機構(NICT)は5月2日、同機構が作成した音声対話研究用のソフトウェア開発キット(MCML音声インタラクションSDK)を利用する378名のメールアドレス等が流出したおそれがあると発表した。

 同機構ではApache Struts2の脆弱性が3月6日に公表されたことを受け、同13日に、開発キットを外部の研究者等に提供する公開サーバーの運用を停止。その後の調査で、5月1日付で当該サーバーが外部から非常に早い段階に不正アクセスを受けていたことと、このサーバーに利用者のID、メールアドレス、暗号化されたパスワードが含まれていたことが判明した。

 対象者にはパスワードの変更等を個別に周知したという。同機構は、引き続き状況の調査を進めるとともに、再発防止に取り組んでいくとしている。

・Apache Struts2の脆弱性を悪用した不正アクセスについて(情報通信研究機構)
https://www.nict.go.jp/info/topics/2017/05/170502-1.html

■総務省統計サイトから2万3000名分の情報流出のおそれ

 総務省は4月13日、統計サイト「e-Stat」が提供しているサービス「地図による小地域分析(jSTAT MAP)」が不正アクセスを受け、約2万3000人分の個人情報が流出した可能性があると発表した

 Apache Struts2の脆弱性を利用した不正アクセスを受け、悪意のあるプログラムが仕掛けられたことが流出の原因。調査の結果、すでに公表済みの統計情報のほか、同サイトに利用登録をした人の登録情報や、利用者がアップロードしたデータが流出したおそれがあることが判明した。登録情報には氏名、メールアドレス、会社名や学校名、利用目的のほか、任意で登録された住所や電話番号も含まれている。

 jSTAT MAPは不正アクセス発覚後に一時停止されていたが、すでに再開している。同省は、システムの監視を強化するとともに、アプリケーションの脆弱性の解消など再発防止について取り組んでいくとしている。

・地図による小地域分析(jSTAT MAP)における不正アクセス(総務省)
http://www.soumu.go.jp/menu_news/s-news/01toukei09_01000023.html

■JINSオンラインショップから個人情報119万件、クレカ情報流出はなし

 メガネチェーン「JINS」を展開するジンズは5月29日、3月に公表していたJINSオンラインショップへの不正アクセスをめぐって、個人情報の漏えいは確認されたがクレジットカード情報の流出はなかったと発表した。

 同社は3月24日、Apache Struts2の脆弱性を利用した不正アクセスを受けたことが同22日に判明し、メールアドレス、氏名、住所、電話番号、生年月日、性別が74万9745件、メールアドレスのみが43万8610件、流出したおそれがあると公表していた。

 外部専門機関による詳細な調査を実施した結果、既報の通り個人情報の漏えいは確認されたが、クレジットカード情報の漏えいはないことが確認できたという。同社は、該当の顧客に対し不審なメール等に注意するよう呼びかけているほか、引き続き外部専門機関の協力を得て必要な措置を講じ、再発の防止に全力で取り組んでいくとしている。

・当社WEBサイトへの不正アクセスについて(ジンズ)
https://www.jins.com/jp/news/2017/05/web.html

(2017/06/13 セキュリティ通信)

【関連記事:セキュリティ通信】
・サーバーソフトの欠陥でクレカ情報など流出――不正使用630万円
http://security-t.blog.so-net.ne.jp/2017-04-27-2
・不正アクセスで情報流出 日本郵便、沖縄電力、2社のオンラインショップ
http://security-t.blog.so-net.ne.jp/2017-03-17-1
・情報流出事故相次ぐ――都税と住宅金融機構のクレカ支払いサイト、ジェトロ、法政大
http://security-t.blog.so-net.ne.jp/2017-03-14-2