情報通信研究機構(NICT)は2017年5月2日、JavaのWebアプリケーションフレームワーク「Apache Struts2」の脆弱性を突かれ、サーバーから378人分の個人情報が流出した恐れがあると公表した。現時点で個人情報を悪用した事象の報告は受けていないという。
不正アクセスを受けたのは、音声対話研究用のソフトウエア開発キット「MCML音声インタラクションSDK」を提供するための公開サーバー。NICTのユニバーサルコミュニケーション研究所が所有し、サーバー内に利用者378人分のIDとメールアドレス、暗号化されたパスワードを保存していた。
NICTのCSIRT(コンピュータ・セキュリティ・インシデント・レスポンス・チーム)である「NICT情報セキュリティインシデント対応チーム(NICT-CSIRT)」の寺田健次郎氏によれば、脆弱性は「S2-045」で、不正アクセスは3月8日午前10時30分ころだったという。ログを解析すると何者かがデータベースへのアクセスを試みていたことが分かった。
NICT-CSIRTは3月8日にJPCERTコーディネーションセンターが発信した早期警戒情報や3月9日に情報処理推進機構(IPA)が公表した注意喚起でStruts2の脆弱性情報を把握。8日からNICT内の各研究所や研究センターに脆弱性情報を共有し、対応を促した。
3月13日にユニバーサルコミュニケーション研究所でStruts2で構築したサーバーがあると分かり、同時に公開を停止。その後の内部調査で情報漏洩の可能性が判明した。公開停止サービスは再開しないという。
ラックやNTTセキュリティ・ジャパンの観測によれば、Struts2の脆弱性を狙った攻撃は3月7日から日本で観測され始めた。寺田氏は「非常に早いタイミングで攻撃された」と話す。一方で、3月8日に脆弱性情報を得て、3月13日までサーバー停止が遅れた点について寺田氏は「現場への連絡が密でなかった」と課題を挙げる。
Struts2の脆弱性を悪用された事案は3月10日に東京都などが公表して以来、今回で公表ベースで12件目となった。
