2017年4月、セキュリティクラスタが注目したのは先月に続いて「Apache Struts 2」の脆弱(ぜいじゃく)性。対応がよろしくない組織が目立ったためです。無線LANのただ乗りに対して「無罪判決」が出たことにも、話題が集まりました。
4月のセキュリティクラスタは、3月に公開された「Apache Struts 2」の脆弱(ぜいじゃく)性の残り火に注目が集まりました。4月になって攻撃を受けたサイトや3月に受けた攻撃について公開するサイト、攻撃から復旧して再公開するサイトなどがあり、タイムライン(TL)を賑わせることとなりました。
ユーザー名とパスワードをスクリーンショットとして保存していた人物が話題となっていた他、乗っ取られて不適切な画像をアップロードされた芸能人、芸能人のアカウントのパスワードを推測し、のぞき見で逮捕された件も話題となっていました。
誰もが犯罪だと思っていた無線LANのただ乗りに対して「無罪」の判決があり、驚いているツイートが多数TLに流れていました。
3月に猛威を奮ったStruts 2の脆弱性(S2-045とS2-046)。4月になると世間ではようやく対応が一段落、落ち着きを取り戻したようです。ところが、対策されておらず攻撃されてしまったサイトや、攻撃されてしまっていたことが4月になって判明したサイト、修正が完了して報告が上がっているサイトなど、まだまだ話題が尽きませんでした。
4月13日には総務省の運営している地図情報サイト「地図による小地域分析」(jSTAT MAP)から最大2万3000件の個人情報の流出可能性があるということが発表されました。Struts 2の脆弱性を突かれた不正アクセスを受けたものです。
クレジットカード番号などお金に関わるデータはなかったものの、脆弱性を突かれたことに気付いた日付に問題がありました。4月11日に判明したということは、脆弱性が判明してから1カ月間、修正を施していなかったことになるからです。
たまたま攻撃者に見つけられなかったのか、すぐに侵入されていたものの気付くのに1カ月かかったのか、発表からは分かりません。いずれにせよ、脆弱性があるシステムを運用していたのにもかかわらず、ほったらかしのずさんな運用にあきれたツイートが目立ちました。
4月25日には「ぴあ」が運営している「B.LEAGUEチケットサイト」と「ファンクラブ受付サイト」でStruts 2の脆弱性を突かれ、個人情報が流出したという発表がありました。こちらはクレジットカード番号とカードのセキュリティコードが流出し、実際に不正利用されていたということです。
発表は4月末。しかし実際に攻撃を受けたのはもっと早かったのです。3月17日からツイートが始まり、不正利用されているという多数の書き込みがあったこと、3月25日にはサイトを停止して調査を行っていたということです。先月のGMOペイメントゲートウェイと同様、PCI DSS(Payment Card Industry Data Security Standard)に違反して、セキュリティコードをサーバに保管していたことが問題視されていました。
最初に攻撃の被害が明らかになったGMOペイメントゲートウェイは、4月17日に個人情報保護法に基づく報告を経済産業省に行いました。しかし、なぜクレジットカードのセキュリティコードが保管されていたのかは明らかにされなかったようです。
Copyright © ITmedia, Inc. All Rights Reserved.