連載
» 2017年05月11日 05時00分 UPDATE

セキュリティクラスタ まとめのまとめ 2017年4月版:無線LANのただ乗りに「無罪判決」の驚き (1/3)

2017年4月、セキュリティクラスタが注目したのは先月に続いて「Apache Struts 2」の脆弱(ぜいじゃく)性。対応がよろしくない組織が目立ったためです。無線LANのただ乗りに対して「無罪判決」が出たことにも、話題が集まりました。

[山本洋介山(エヌ・ティ・ティ・コミュニケーションズ),@IT]

 4月のセキュリティクラスタは、3月に公開された「Apache Struts 2」の脆弱(ぜいじゃく)性の残り火に注目が集まりました。4月になって攻撃を受けたサイトや3月に受けた攻撃について公開するサイト、攻撃から復旧して再公開するサイトなどがあり、タイムライン(TL)を賑わせることとなりました。

 ユーザー名とパスワードをスクリーンショットとして保存していた人物が話題となっていた他、乗っ取られて不適切な画像をアップロードされた芸能人、芸能人のアカウントのパスワードを推測し、のぞき見で逮捕された件も話題となっていました。

 誰もが犯罪だと思っていた無線LANのただ乗りに対して「無罪」の判決があり、驚いているツイートが多数TLに流れていました。

Struts 2の脆弱性を放置し4月になって攻撃に気付いた「総務省」、セキュリティコードを盗まれて不正利用されていた「ぴあ」

 3月に猛威を奮ったStruts 2の脆弱性(S2-045とS2-046)。4月になると世間ではようやく対応が一段落、落ち着きを取り戻したようです。ところが、対策されておらず攻撃されてしまったサイトや、攻撃されてしまっていたことが4月になって判明したサイト、修正が完了して報告が上がっているサイトなど、まだまだ話題が尽きませんでした。

 4月13日には総務省の運営している地図情報サイト「地図による小地域分析」(jSTAT MAP)から最大2万3000件の個人情報の流出可能性があるということが発表されました。Struts 2の脆弱性を突かれた不正アクセスを受けたものです。

 クレジットカード番号などお金に関わるデータはなかったものの、脆弱性を突かれたことに気付いた日付に問題がありました。4月11日に判明したということは、脆弱性が判明してから1カ月間、修正を施していなかったことになるからです。

 たまたま攻撃者に見つけられなかったのか、すぐに侵入されていたものの気付くのに1カ月かかったのか、発表からは分かりません。いずれにせよ、脆弱性があるシステムを運用していたのにもかかわらず、ほったらかしのずさんな運用にあきれたツイートが目立ちました。

 4月25日には「ぴあ」が運営している「B.LEAGUEチケットサイト」と「ファンクラブ受付サイト」でStruts 2の脆弱性を突かれ、個人情報が流出したという発表がありました。こちらはクレジットカード番号とカードのセキュリティコードが流出し、実際に不正利用されていたということです。

 発表は4月末。しかし実際に攻撃を受けたのはもっと早かったのです。3月17日からツイートが始まり、不正利用されているという多数の書き込みがあったこと、3月25日にはサイトを停止して調査を行っていたということです。先月のGMOペイメントゲートウェイと同様、PCI DSS(Payment Card Industry Data Security Standard)に違反して、セキュリティコードをサーバに保管していたことが問題視されていました。

 最初に攻撃の被害が明らかになったGMOペイメントゲートウェイは、4月17日に個人情報保護法に基づく報告を経済産業省に行いました。しかし、なぜクレジットカードのセキュリティコードが保管されていたのかは明らかにされなかったようです。

       1|2|3 次のページへ

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

@IT Special

- PR -

TechTargetジャパン

この記事に関連するホワイトペーパー

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。