JavaのWebアプリケーションフレームワーク「Apache Struts2」に任意のコードを実行できる脆弱性(S2-045、CVE-2017-5638)が見つかり、2017年3月20日時点で7組織が被害に遭っている。情報漏洩した可能性のある個人情報は合計で79万4566件に上った。
公表日 | 企業・団体 | Webサイト (サイト運営受託者) | 公表されている攻撃内容 | 被害状況 |
---|---|---|---|---|
3月10日 | 東京都 | 都税クレジットカードお支払いサイト(GMOペイメントゲートウェイ*1) | 悪意あるプログラムが仕込まれた | カード情報(暗号化されたカード番号、カードブランド、有効期限)67万6290件(うち61万4629件はメールアドレス含む)が流出した可能性 |
3月10日 | 住宅金融支援機構 | 団体信用生命保険特約料クレジットカード支払いサイト(GMOペイメントゲートウェイ) | 悪意あるプログラムが仕込まれた | カード情報(カード番号、有効期限、セキュリティコード)、カード払い申込日、住所、氏名、電話番号、生年月日、団信加入月、メールアドレスのセット合計4万3540件が流出した可能性*2 |
3月10日 | 日本貿易振興機構(JETRO) | 相談利用者様登録ページ | 3月8日、ログ情報など一部の情報の消去 | メールアドレス2万6708件が窃取された可能性 |
3月10日 | 工業所有権情報・研修館 | 特許情報プラットフォーム(J-PlatPat)サービス | 3月9日、外部からの攻撃 | 情報漏洩なし。3月9日から17日までサービス停止 |
3月14日 | 日本郵便 | 国際郵便マイページサービス | 3月12日から13日まで、悪意のあるプログラムが仕込まれた | 送り状1104件とメールアドレス2万9116件が流出した可能性 |
3月16日 | 沖縄電力 | 停電情報公開サービス | 3月13日午後7時前後から午後9時まで、コンテンツの改ざん | メールアドレス、ニックネーム、停電情報の配信希望地域のセット6478件が流出した可能性 |
3月17日 | ニッポン放送 | 音声ネット配信サービス「Radital」 | 3月11日午後2時ころから、一部コンテンツの改ざん | 氏名、住所、電話番号、メールアドレスのセットが1万1330件 |
修正版提供3日後には被害判明
今回の脆弱性が公表されたのは、2017年3月6日。Struts 2が標準設定で有効になっていて、ファイルをアップロードする時に使う機能「Jakarta Multipart parser」に脆弱性があった。
第三者がこの脆弱性を突くHTTPリクエストを送信すると、StrutsのWebアプリケーションを実行するサーバー上で任意のコードが動かせてしまう。つまり、どんな悪意のあるプログラムでも実行できてしまうのだ。
「過去のStruts2の脆弱性と比べ、攻撃を成功させるのが容易という特徴がある。中国方面で既に攻撃コードが公開されている」。セキュリティサービスを提供するラックの品川亮太郎シニアセキュリティアナリストはこう話す。
米アパッチソフトウエア財団は翌7日には脆弱性を修正したバージョン(2.3.32と2.5.10.1)を公開。日本では情報処理推進機構(IPA)が8日に注意喚起を公表し、JPCERTコーディネーションセンター(JPCERT/CC)も9日に注意喚起を公表した。
ところがその翌日である3月10日には、東京都や住宅金融支援機構のWebサイトを運営していたGMOペイメントゲートウェイ(GMO-PG)、日本貿易振興機構(JETRO)が攻撃による被害を公表。さらに、日本郵便、沖縄電力、ニッポン放送などが次々と、メールアドレスや個人情報が流出した可能性について発表した。
関連記事:JETROもApache Struts2脆弱性で被害か、メールアドレス2万件超窃取
関連記事:日本郵便、不正アクセスで約3万件のメールアドレスなど流出か
関連記事:沖縄電力のStruts2稼動サイトに不正アクセス、約6500件のメールアドレス流出か
関連記事:ニッポン放送もStruts2脆弱性でWebサイト改ざん