メガネ販売店「JINS(ジンズ)」を展開するジェイアイエヌは2017年3月24日、同社が運営するWebサイト「JINSオンラインショップ」が不正アクセスを受けたと発表した。約120万件の個人情報が第三者にアクセスされた可能性がある。

「JINSオンラインショップ」に掲載された不正アクセスについての発表文書
「JINSオンラインショップ」に掲載された不正アクセスについての発表文書
(出所:ジェイアイエヌ)
[画像のクリックで拡大表示]

 同社によれば、3月22日にWebアプリケーションフレームワーク「Apache Struts2」の脆弱性を悪用され、第三者による不正アクセスを確認したという。調査の結果、第三者が一定期間、個人情報にアクセスできる状況にあったことが判明した。

 Struts2で任意のコードを実行できる脆弱性(S2-045、CVE-2017-5638)を悪用するサイバー攻撃は、他社でも相次いで判明している。同社デジタルコミュニケーション室は「他社で起こっているのと同様の事案と認識している」と話す。

 JINSで第三者からアクセスできる状況にあった個人情報は、メールアドレス、氏名、住所、電話番号、生年月日、性別のセットが74万9745人分、メールアドレスのみが43万8610人分。現時点では個人情報の流出は確認していないが、今後も調査を続ける。クレジットカード情報は自社サーバーでは保管していないため、不正アクセスの影響はないという。

 同社は3月9日にStruts2の脆弱性情報を認識し、3月22日に対応作業を進める計画を立てた。3月22日の対応終了後、過去に遡って調べたところ、不正アクセスの痕跡を発見したという。

 不正アクセスによってサーバーにマルウエア(悪意のあるソフトウエア)を仕込まれた可能性があったため、3月23日に新しいサーバー環境を構築して、脆弱性対策済みのアプリケーションを移行。同日中に新サーバーでWebサイトの運用を再開した。

 JINSオンラインショップは、2013年3月にも不正アクセスを受け、最大2059件のクレジットカード情報が漏洩する事案を起こしている。当時の不正侵入もStruts2の脆弱性を悪用するものだった。

 JINSオンラインショップのアプリケーションは4年前のものを改良して使っており、Struts2も引き続き使ってきた。「Struts2の脆弱性対応も含めて、厳格なセキュリティ対策を実施してきたが、今回も不正アクセスを許してしまった。結果的には、対策が不十分だった」(デジタルコミュニケーション室)。