JavaのWebアプリケーションフレームワーク「Apache Struts2」に任意のコードを実行できる脆弱性(S2-045、CVE-2017-5638)が見つかり、2017年3月20日時点で7組織が被害に遭っている。情報漏洩した可能性のある個人情報は合計で79万4566件に上った。

表●Apache Struts2の脆弱性を攻撃された可能性のあるWebサイト
公表日企業・団体Webサイト
(サイト運営受託者)
公表されている攻撃内容被害状況
3月10日東京都都税クレジットカードお支払いサイト(GMOペイメントゲートウェイ*1)悪意あるプログラムが仕込まれたカード情報(暗号化されたカード番号、カードブランド、有効期限)67万6290件(うち61万4629件はメールアドレス含む)が流出した可能性
3月10日住宅金融支援機構団体信用生命保険特約料クレジットカード支払いサイト(GMOペイメントゲートウェイ)悪意あるプログラムが仕込まれたカード情報(カード番号、有効期限、セキュリティコード)、カード払い申込日、住所、氏名、電話番号、生年月日、団信加入月、メールアドレスのセット合計4万3540件が流出した可能性*2
3月10日日本貿易振興機構(JETRO)相談利用者様登録ページ3月8日、ログ情報など一部の情報の消去メールアドレス2万6708件が窃取された可能性
3月10日工業所有権情報・研修館特許情報プラットフォーム(J-PlatPat)サービス3月9日、外部からの攻撃情報漏洩なし。3月9日から17日までサービス停止
3月14日日本郵便国際郵便マイページサービス3月12日から13日まで、悪意のあるプログラムが仕込まれた送り状1104件とメールアドレス2万9116件が流出した可能性
3月16日沖縄電力停電情報公開サービス3月13日午後7時前後から午後9時まで、コンテンツの改ざんメールアドレス、ニックネーム、停電情報の配信希望地域のセット6478件が流出した可能性
3月17日ニッポン放送音声ネット配信サービス「Radital」3月11日午後2時ころから、一部コンテンツの改ざん氏名、住所、電話番号、メールアドレスのセットが1万1330件
*1収納代行業務の指定を受けたトヨタファイアンスがGMOペイメントゲートウェイにサイト運営を委託、*2セット全てが流出した可能性があるのが2万8283件、加入月を除くセットが5569件、メールアドレスを除くセットが9688件(出所:各組織の公表資料を基に編集部が作成)

修正版提供3日後には被害判明

 今回の脆弱性が公表されたのは、2017年3月6日。Struts 2が標準設定で有効になっていて、ファイルをアップロードする時に使う機能「Jakarta Multipart parser」に脆弱性があった。

 第三者がこの脆弱性を突くHTTPリクエストを送信すると、StrutsのWebアプリケーションを実行するサーバー上で任意のコードが動かせてしまう。つまり、どんな悪意のあるプログラムでも実行できてしまうのだ。

脆弱性を悪用した攻撃のイメージ
脆弱性を悪用した攻撃のイメージ
(出所:情報処理推進機構)
[画像のクリックで拡大表示]

 「過去のStruts2の脆弱性と比べ、攻撃を成功させるのが容易という特徴がある。中国方面で既に攻撃コードが公開されている」。セキュリティサービスを提供するラックの品川亮太郎シニアセキュリティアナリストはこう話す。

 米アパッチソフトウエア財団は翌7日には脆弱性を修正したバージョン(2.3.32と2.5.10.1)を公開。日本では情報処理推進機構(IPA)が8日に注意喚起を公表し、JPCERTコーディネーションセンター(JPCERT/CC)も9日に注意喚起を公表した。

 ところがその翌日である3月10日には、東京都や住宅金融支援機構のWebサイトを運営していたGMOペイメントゲートウェイ(GMO-PG)、日本貿易振興機構(JETRO)が攻撃による被害を公表。さらに、日本郵便、沖縄電力、ニッポン放送などが次々と、メールアドレスや個人情報が流出した可能性について発表した。