総務省は2017年4月13日、Webサイトの「地図による小地域分析(jSTAT MAP)」から最大で2万3000人分の個人情報が流出した可能性があると公表した。サイトは4月11日正午に停止し、再開時期は未定という。

Apache Struts2の脆弱性を突かれ不正アクセスを受けた「地図による小地域分析(jSTAT MAP)」のWebサイト
Apache Struts2の脆弱性を突かれ不正アクセスを受けた「地図による小地域分析(jSTAT MAP)」のWebサイト
(出所:総務省)
[画像のクリックで拡大表示]

 流出した恐れがある個人情報は、サイト利用登録時に必須項目である氏名、メールアドレス、職業、会社名/学校名、利用目的。加えて、任意入力項目である電話番号、性別、年代、住所、具体的利用目的、情報の入手先のほか、利用者がアップロードした店舗などの情報も漏れた可能性がある。

 同サイトはJavaのWebアプリケーションフレームワーク「Apache Struts2」の脆弱性を悪用した不正アクセスを受けた。不正アクセスに気が付いたのは4月11日午前中で、「ウイルス対策ソフトの定期スキャンで悪意のあるプログラムを検知した」(総務省統計局統計情報システム管理官)。被害拡大を防ぐため、正午にサイトを停止した。

 Struts2が動作するAPサーバーのログを解析すると、悪意のあるプログラムを複数回設置されていて、最初は3月9日だった。さらに「4月10日に通常よりも大きいサイズのファイルをダウンロードされたログがあった」(同)。現段階で4月9日以前にはそうしたログは無いという。

 jSTAT MAPはDBサーバーに各種データを格納する。具体的にはサイトで公開する統計情報データのほか、2013年10月18日のサイト開設以降にユーザー登録した約2万3000人の個人情報、利用者がアップロードした地点情報である。地点情報には店舗や施設の名称、住所、任意の情報などを含む。DBサーバーに不正アクセスされたログは無かったものの、「APサーバーの管理者権限を乗っ取られてDBサーバーにアクセスされた可能性がある」(同)。

他組織の被害報告から1カ月、脆弱性放置の経緯は「調査中」

 3月10日以降、Struts2で任意のコードを実行できる脆弱性(S2-045、CVE-2017-5638)を悪用したサイバー攻撃の被害が多数報告されている。総務省で悪用された脆弱性がS2-045であるかは調査中という。

 多くの被害情報が公開され、情報処理推進機構やJPCERTコーディネーションセンターから注意喚起が出されるなか、脆弱性対策を進めてこなかった格好だ。経緯について「調査中」(同)とする。

 jSTAT MAPが総務省のネットワークの配下にあるのか、内閣サイバーセキュリティセンター(NISC)が政府機関のセキュリティ監視で設けた「GSOC(政府機関情報セキュリティ横断監視・即応調整チーム)」でjSTAT MAPから外部への不正通信を検知できなかったのか。これらは「セキュリティ上の観点から回答を控える」(同)とした。

 jSTAT MAPは政府統計の総合窓口(e-Stat)の一つの機能で、総務省は運用を独立行政法人の統計センターに委託している。