国土交通省は2017年6月6日、JavaのWebアプリケーションフレームワーク「Apache Struts2」の脆弱性を攻撃され、最大で約20万件の土地関連情報が流出した恐れがあると公表した。Struts2の脆弱性を悪用された被害事案は3月10日に東京都などが公表して以来、公表ベースで13件目となった。
第三者が不正アクセスしたのは「不動産取引価格アンケート回答(電子回答)」サイト。適正な公示地価を判定するため、不動産取引の実例をアンケートで収集するサイトである。
今回、氏名・法人名、契約日、取引価格、登記上の地番と住居表示などのアンケート回答情報が最大4355件流出した恐れがあるという。併せて、登記所などで入手できる情報ではあるものの、所有権移転登記情報も最大19万4834件流出した恐れがある。
サイトを運営する国交省の土地・建設産業局不動産市場整備課によれば、同サイトの運営委託業者に調査を依頼して、同サイトがStruts2を使っていると判明したのは3月上旬。2017年度の予算で脆弱性対策とタブレット対応などの機能追加を図るとし、5月に運営委託会社のグループ会社と契約。システム改修に着手したところ、6月2日に同サイトに悪意のあるプログラムが仕込まれているのが判明。同日午後4時に同サイトを停止した。
その後の調査で攻撃は5月9日に発生したと判明し、2017年4月7日から6月2日までのアンケート回答情報の流出の可能性も分かった。4月6日以前のアンケート情報はサーバーから退避済みだった。
脆弱性の存在を認識しつつも対策が遅れた点について不動産市場整備課の担当者は「もっと早く手を打てばよかった」と話す。攻撃者が悪用したStruts2の脆弱性が「S2-045」かどうかは「不明」(不動産市場整備課の担当者)。現在は情報流出の有無の確認を急ぎ、システム監視の強化や再発防止策を検討しているという。
