• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

速報

JETROもApache Struts2脆弱性で被害か、メールアドレス2万件超窃取

金子 寛人=日経コンピュータ 2017/03/13 日経コンピュータ

 日本貿易振興機構(JETRO)は2017年3月10日、Webサイトの「相談利用者様登録ページ」が不正アクセスを受け、登録者のメールアドレス2万6708件が窃取された可能性があると発表した。「(JavaのWebアプリケーションを作成するためのソフトウエアフレームワークである)Apache Struts2の脆弱性を悪用された可能性が濃厚だと考えている」(広報課)としている。

JETROのWebサイトに掲載されたお知らせ
[画像のクリックで拡大表示]

 窃取された可能性のある情報はメールアドレスとログイン日時。JETROのサイトではログイン用のIDとしてメールアドレスを使っており、今回の事案ではログイン履歴のログ情報が消去されていたことから、メールアドレスが窃取された可能性があるとJETROでは推定している。パスワードやその他の個人情報は「窃取されていないと判断している」(広報課)。

 相談利用者様登録ページでは、3月8日に登録ユーザーがJETROのサイトにログインできなくなるという不具合が発生。それを受けてシステム会社が調査したところ、ログインに必要な情報やログ情報などが削除されていたことが同日判明。不正アクセスした何者かが消去したものとJETROでは分析している。

 原因については「特定に至っていないが、時期的なことを考えるとApache Struts2の脆弱性を悪用された可能性が濃厚だと考えている」(広報課)。Apache Struts2を巡っては、日本では情報処理推進機構(IPA)が3月8日に、JPCERTコーディネーションセンターも3月9日に脆弱性情報を出して注意を呼びかけていた。3月10日には、東京都の「都税クレジットカードお支払いサイト」と住宅金融支援機構の「団体信用生命保険特約料クレジットカード支払いサイト」も不正アクセスを受け、クレジットカード情報など合わせて約72万件の情報が流出した可能性があると発表している。

 JETROでは通常、セキュリティ会社からの脆弱性情報に基づき不正アクセス対策を強化しているが、「今回は脆弱性情報より前に攻撃を受けていたとみられ、対策が間に合わなかった」(広報課)としている。

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

クライアント/OA機器

ネットワーク/通信サービス

セキュリティ

もっと見る