沖縄電力は2017年3月15日、停電情報を公開するWebサイトが第三者からの不正アクセスを受け、6478件のメールアドレスが流出した可能性があると公表した。同サイトはWebアプリケーションフレームワークの「Apache Struts2」で構築・運用していた。調査中ではあるものの、「Struts2の脆弱性を悪用された可能性が高い」(沖縄電力広報)。
現在はメンテナンス中の停電情報公開サービスのWebサイト
(出所:沖縄電力)
[画像のクリックで拡大表示]
3月13日夜、同社社員が停電情報を公開するWebサイトが改ざんされていることに気が付いた。「男性の写真を背景に、緊急地震速報のようなメッセージが表示されていた」(同)。改ざんされた時期は3月13日午後7時前後から午後9時まで2時間程度という。
同社は午後9時に同サイトを停止した。3月16日午後4時時点でも停止している。同サイトでは希望者に停電情報を配信する「メール配信サービス」も運用していたため、登録済みのメールアドレスとニックネームなど6478件が流出した可能性があるとした。情報流出の可能性がある利用者には個別に連絡するとしている。「3月16日時点で被害報告は無い」(同)。
Struts2を巡っては、日本では情報処理推進機構(IPA)が3月8日に、JPCERTコーディネーションセンターが3月9日に脆弱性情報を出して注意を呼びかけていた。沖縄電力広報は「Struts2の脆弱性を把握しており、対応を検討するなかで攻撃された」と話す。ただ、調査は続いており、Struts2の脆弱性を悪用した攻撃かどうかは断定できていないという。
