2016年4月22日、J-WAVEは同社のWebサイトが不正アクセスを受け、顧客情報が漏えいした可能性があると発表しました。ここでは関連情報をまとめます。
公式発表
【J-WAVE WEBサイトへの不正アクセスによる個人情報流出の可能性に関するお知らせ】
— J-WAVE 81.3FM (@jwave813fm) 2016年4月22日
詳細はコチラ ⇒ https://t.co/fcyCL3vYGj#jwave
- 2016年4月22日 不正アクセスによる個人情報流出の可能性に関するお知らせ
- 2016年4月22日 [PDF] J-WAVE WEB サイトへの不正アクセスによる個人情報流出の可能性に関する概要
- 2016年4月28日 [PDF] J-WAVE WEB サイトへの不正アクセスによる個人情報流出の可能性に関する概要
- 2016年5月2日 [PDF] J-WAVE WEB サイトへの不正アクセスによる個人情報流出の可能性に関する特別調査委員会の設置について
- 2016年6月13日 J-WAVE WEBサイトへの不正アクセスによる個人情報流出の可能性に関する特別調査委員会による調査結果のお知らせ (魚拓)
- [PDF] OS コマンドインジェクション攻撃に起因する個人情報漏えい事案の調査結果報告書
- [PDF] ■今後の体制■
インシデントタイムライン
| 日時 | 出来事 |
|---|---|
| 2016年4月21日 0時〜3時 | J-WAVEのWebサーバーへ不正アクセスが発生。 |
| 同日 | 外部専門会社がサーバーの異常を把握。 |
| 同日 夕方 | J-WAVEシステム会社が調査し、不正アクセスを確認。 |
| 2016年4月22日 | J-WAVEが警視庁へ被害届を提出。 |
| 同日 | J-WAVEが不正アクセスについて発表。 |
| 2016年4月28日 | J-WAVEが不正アクセスについて続報を発表。 |
| 2016年5月2日 | J-WAVEが調査委員会設置について発表。 |
| 2016年6月13日 | J-WAVEが調査委員会からの調査報告書を受領し、その内容を発表。 |
不正アクセスの被害
- J-WAVEのWebサーバー「www.j-wave.co.jp」が不正アクセスを受けた。
- J-WAVEが保有する個人情報約64万件が漏えいした恐れがある。
- 2007年以降 J-WAVE メッセージフォームより番組へメッセージを送付した人、またはプレゼント応募をした人が対象。
- 2016年4月22日夜までに漏えいした恐れのある情報の悪用は確認されていない。*1
- 2006年以前は保存期間を過ぎているため消去済みであった。
情報漏えいした恐れのある情報項目
少なくとも次の情報が含まれる。
- 氏名
- 住所
- 電話番号
- メールアドレス
- 職業
次の情報は漏えい対象に該当しないとして発表されている。
- 電子メールより送付したもの
- Twitterより送付したもの
原因
- J-WAVEのブログプログラムで使用しているソフトウェア「ケータイキット for Movable Type」にコマンドインジェクションの脆弱性が存在し、これを突く不正アクセスを受けたため。
- これはアクセスログの解析より判明した。
J-WAVEが不正アクセスを受けたブログプログラムはMovable Type
J-WAVE NewsのMETAタグに「Movable Type」と記載されていることを確認できた。
また10年以上前の情報であるがJ-WAVEがMovableTypeを使用していたとの情報が存在する。
緊急パッチが公開された「ケータイキット for Movable Type」
現時点でこの不正アクセスとの関連は不明ながら2016年4月22日にアイデアマンズ株式会社より同社製品の「ケータイキット for Movable Type」の緊急パッチが公開されている。
想定される影響に「OSコマンドインジェクション」の記述が存在する。
ケータイキット for Movable Type の画像処理機能には、OS コマンドインジェクションの脆弱性が存在します。悪意のある任意のリクエストパラメータにより、任意の OS コマンドを実行される可能性があります。
影響を受ける範囲は次の通り。
- ケータイキット for Movable Type 1.35 〜 1.641
- 2010年1月27日にVer.1.49リリースのお知らせを確認でき、少なくとも2010年1月以降の製品は影響を受ける。(それ以前は掲載を確認できず不明。)
ケータイキットの導入実績は1000ライセンス以上とあり、シックス・アパートからケータイキットをバンドルした「Movable Type 携帯Pack(Movable Type Mobile pack)」、スカイアークから「MTCMS」も販売されている。
2006年の発売以来、1000ライセンス以上(2010年5月現在)をご導入いただきました。また、2009年よりシックス・アパート株式会社でもバンドル製品「Movable Type 携帯Pack」の販売が開始され、Movable Typeの携帯対応プラグインのデファクトスタンダードとして多くのお客様にご活用いただいています。
http://www.keitaikit.jp/
ケータイキット for Movable Type は2006年に提供開始して、これまで1915本のライセンスが使われているそうです。 #saday
— シックス・アパート株式会社 (@sixapartkk) 2011年12月2日
シックス・アパート、スカイアークのケータイキットのパッチに関するアナウンスが公開されていた。
J-WAVEから削除されたソフトウェア
「ケータイキット for Movable Type」のチュートリアルに記載のあった情報を元に検索してところ、J-WAVEでも使用している痕跡らしきページが検索結果に表示された。
現在は404が返りページは存在しない模様。キャッシュから2016年4月11日まで存在していたことは確認できた。
その後、J-WAVEがプレスリリースを更新し、「ケータイキット for Movable Type」であることが確定した。
さらにその後、J-WAVEがプレスリリースを更新し、「ケータイキット for Movable Type」のソフトウェア名称、NISCの注意喚起に関する言及が削除された。
対策
- 原因となったソフトウェアの削除、および安全性の確認作業を実施
- Webサーバーからのデータ削除、並びにデータを安全な場所への退避
- 警察、監督官庁への相談・届け出
- 問い合わせ窓口の設置
- 情報漏えいした可能性のあるユーザーへ電子メール「jwinfo@j-wave.co.jp」より連絡
J-WAVEからの連絡
J-WAVEからメール着た(´・ω・`) pic.twitter.com/nTIZEZhCgw
— 風来坊 獨晋 (@KI4SIN1ROW) 2016年4月23日
問い合わせ窓口
メールアドレス : jwinfo@j-wave.co.jp
電話 : 03-6832-1147
電話受付時間 : 22日(金)は22:00まで
23日(土)以降は9:30〜19:00
更新履歴
- 2016年4月23日 AM 新規作成
- 2016年4月23日 AM タイムライン、ケータイキットに関する情報追記
- 2016年4月23日 AM ケータイキットに関する情報追記
- 2016年4月23日 PM ケータイキットに関する情報追記
- 2016年4月23日 PM ケータイキットに関する情報追記
- 2016年4月23日 PM 続報追記
- 2016年5月3日 PM 続報追記
- 2016年6月15日 PM 続報追記
*1:J−WAVE、個人情報64万件流出か 不正アクセスで,朝日新聞,2016年4月23日アクセス:魚拓
*2:64万件の個人情報流出か FMラジオ局J―WAVE,共同通信,2016年4月23日アクセス
*3:J-WAVEでも64万件の個人情報流出の可能性、原因ソフトの利用者は至急パッチ適用を,ITpro,2016年4月22日アクセス:魚拓
