連載
» 2016年05月17日 05時00分 公開

セキュリティエンジニアを目指す若者の4月セキュリティクラスタ まとめのまとめ 2016年4月版(2/3 ページ)

[山本洋介山(エヌ・ティ・ティ・コミュニケーションズ),@IT]

日テレやJ-WAVEなどが「OSコマンドインジェクション」による攻撃を受ける

 2016年4月21日には日本テレビのWebサイトが不正アクセスを受け、約43万件の個人情報が流出したと公表されました。

 セキュリティクラスタで話題となったのは、攻撃対象がメディアのサイトだったことでも多数の個人情報が流出したことでもなく、攻撃方法が「OSコマンドインジェクション」であった点でした。というのも、これは最近のWebアプリケーションではあまり見つからない脆弱性だからです。

 「OSコマンドインジェクション」とは、ユーザーが細工したコメントやメールアドレスなどを送信することで、勝手にサーバー内のOSコマンドを実行できてしまうという大変危険な脆弱性です。この脆弱性を突かれれば、攻撃者は“やりたい放題”になってしまうのですが、さすがにほとんどのWebアプリケーションでは対策がなされており、2010年代に入ってから単純なものが見つかることはほとんどありませんでした。そのため、「昔のものをよく放置していたな」と驚くツイートや、「昔はよく見つかったのになあ」と懐かしむようなツイートも行われていました。

 また流出した個人情報の中には古いものも含まれていたことから、過去の情報を置きっ放しにしている情報管理のずさんさを指摘するツイートも多く見られました。

 OSコマンドインジェクションといってもやり方はいくつか考えられます。そのため、セキュリティクラスタでは「メール送信のときに直接OSコマンドを実行するようになっていたのでは」「数年前に話題になった『Shellshock』脆弱性を悪用されたのではないか」といった推測がなされましたが、日本テレビの件に関しては、詳細は公表されませんでした。

 さらに、4月22日にはラジオ局のJ-Waveも攻撃を受け、リスナーの個人情報約64万件が流出したことが公表されました。また、日テレの子会社やエイベックスも攻撃を受けます。これらは全て「ケータイキット for Movable Type」というCMSのプラグインのOSコマンドインジェクション脆弱性が原因でした。OSコマンドインジェクション脆弱性が軒並み狙われているのかもしれません。

 この他にも4月はモバゲーに不正アクセスが行われ、10万件以上の不正ログインが行われたり、ジュエリーなどを販売するザ・キッスのECサイトで約20万件の顧客情報が流出したり、B2Bのオンライン卸・仕入れプラットフォーム「NETSEA」が約13万件の個人情報を流出させたりするなど、多くの攻撃が行われ、情報漏えいが多発しました。

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。