Apache Struts 2の脆弱性がヤバい、外部からサーバコマンドを実行：セキュリティクラスタ まとめのまとめ 2017年3月版（3/4 ページ）

[山本洋介山（エヌ・ティ・ティ・コミュニケーションズ），＠IT]

JINSもStruts 2の脆弱性で

　騒動が収まってきた頃にもう1つの大きな情報漏えい事件が起こります。眼鏡のJINSです。当初、「恒心教」というインターネットの集団による攻撃とされて、特徴的な画面に書き換えられていたことが話題となっていました。その後、これについてもStruts 2の脆弱性を突かれたことが明らかになっています。

　JINSの場合、過去にも攻撃を受けて情報漏えい事件を起こしたことがあり、2度目ということで過去の教訓が生かせていないと思われていました。ただ前回と比べてカード情報が流出していないことを評価しているツイートもありました。

　書き換えられたのが3月22日、迅速に対応していれば防げたはずの日に攻撃を受けたことについても問題視されていました。その他、PCI DSSに従ったため問題が起こったのではないかという意見がツイートされていました。PCI DSSでは重要なセキュリティパッチは1カ月以内にインストールするということになっていたため、仕様に従って間違いのない運用をしていたにもかかわらず、攻撃を受けてしまったのではないかということでした。