セキュリティエンジニアを目指す若者の4月：セキュリティクラスタ まとめのまとめ 2016年4月版（2/3 ページ）

2016年4月は、「Apache Struts2」の脆弱性や「OSコマンドインジェクション」を使った攻撃が騒ぎを呼ぶ一方で、突如「Yahoo!知恵袋」に注目が集まったのでした。

[山本洋介山（エヌ・ティ・ティ・コミュニケーションズ），＠IT]

日テレやJ-WAVEなどが「OSコマンドインジェクション」による攻撃を受ける

　2016年4月21日には日本テレビのWebサイトが不正アクセスを受け、約43万件の個人情報が流出したと公表されました。

　セキュリティクラスタで話題となったのは、攻撃対象がメディアのサイトだったことでも多数の個人情報が流出したことでもなく、攻撃方法が「OSコマンドインジェクション」であった点でした。というのも、これは最近のWebアプリケーションではあまり見つからない脆弱性だからです。

　「OSコマンドインジェクション」とは、ユーザーが細工したコメントやメールアドレスなどを送信することで、勝手にサーバー内のOSコマンドを実行できてしまうという大変危険な脆弱性です。この脆弱性を突かれれば、攻撃者は“やりたい放題”になってしまうのですが、さすがにほとんどのWebアプリケーションでは対策がなされており、2010年代に入ってから単純なものが見つかることはほとんどありませんでした。そのため、「昔のものをよく放置していたな」と驚くツイートや、「昔はよく見つかったのになあ」と懐かしむようなツイートも行われていました。

　また流出した個人情報の中には古いものも含まれていたことから、過去の情報を置きっ放しにしている情報管理のずさんさを指摘するツイートも多く見られました。

　OSコマンドインジェクションといってもやり方はいくつか考えられます。そのため、セキュリティクラスタでは「メール送信のときに直接OSコマンドを実行するようになっていたのでは」「数年前に話題になった『Shellshock』脆弱性を悪用されたのではないか」といった推測がなされましたが、日本テレビの件に関しては、詳細は公表されませんでした。

　さらに、4月22日にはラジオ局のJ-Waveも攻撃を受け、リスナーの個人情報約64万件が流出したことが公表されました。また、日テレの子会社やエイベックスも攻撃を受けます。これらは全て「ケータイキット for Movable Type」というCMSのプラグインのOSコマンドインジェクション脆弱性が原因でした。OSコマンドインジェクション脆弱性が軒並み狙われているのかもしれません。

　この他にも4月はモバゲーに不正アクセスが行われ、10万件以上の不正ログインが行われたり、ジュエリーなどを販売するザ・キッスのECサイトで約20万件の顧客情報が流出したり、B2Bのオンライン卸・仕入れプラットフォーム「NETSEA」が約13万件の個人情報を流出させたりするなど、多くの攻撃が行われ、情報漏えいが多発しました。