2017年3月に複数のWebサイトが外部からの不正アクセスを受けたことを発表しています。また一部では不正アクセスが成功し、情報が盗まれたり、データが削除されるといった被害が発生しています。
攻撃を受けたWebサイトはApache Struts 2で稼働していたとみられ、またGMOペイメントゲートウェイはApache Struts2の脆弱性を悪用した不正アクセスであったことを明らかにしています。ここでは3月に発表されたApache Struts 2で稼働するWebサイトへの不正アクセスについてまとめます。
被害状況の概要
攻撃を受けたサイトやその被害概要をまとめると次の通り。
運営元 | 攻撃を受けたサイト | 被害状況 |
---|---|---|
トヨタファイナンス GMOペイメントゲートウェイ |
都税クレジットカードお支払いサイト(旧) ⇒新しいドメインへ移転 機構団体信用生命保険特約料クレジットカード支払いサイト |
サイトに悪意あるプログラムが設置。 クレジットカード情報やメールアドレス等が窃取された可能性。 |
JETRO | 相談利用者登録ページ | 一部情報の削除。 メールアドレスを含むログ情報が窃取された可能性。 |
科学技術振興機構 | 科学技術情報発信・流通総合システム(J-STAGE) | 外部からの攻撃を検知しサービスを一時停止。調査の結果影響なし。 |
工業所有権情報・研修館 | 特許情報プラットフォーム(J-PlatPat) | 外部からの攻撃を検知。 緊急措置として全サービスを停止。 |
日本郵便 | 国際郵便マイページサービス | サイトに不正なプログラムが設置。 送り状やメールアドレスの情報が窃取された可能性。 |
沖縄電力 | 停電情報公開サービス | Webサイトのコンテンツが改ざんされた。 情報漏えいや不正プログラムの有無など調査中。 |
ニッポン放送 | Radital | Webサイトのコンテンツが改ざんされた。 会員情報やフォームにて入力された情報が窃取された可能性。 |
岡山県 県内12市町 |
おかやまオープンデータカタログ | 外部への攻撃の踏み台に利用されていた。 |
ジェイアイエヌ | JINSオンラインショップ | ショップサイトの個人情報が窃取された可能性。 |
総務省 | 地図による小地域分析(jSTAT MAP) | 利用時に登録していた個人情報が窃取された可能性。 |
ぴあ | B.LEAGUE チケットサイト B.LEAGUE ファンクラブ受付サイト |
利用時に登録していた個人情報、クレジットカード情報が窃取された可能性。 |
情報通信研究機構 | 「MCML音声インタラクションSDK」外部研究者向け提供サーバー | サーバー停止前に不正アクセスを受けていた |
国土交通省 | 土地総合情報システム 不動産取引価格アンケート回答(電子回答) |
サイトに不正なプログラムが設置。 アンケート回答者の情報等が窃取された可能性。 |
一部ではApache Struts 2が原因とは発表していないサイトもこのソフトウェアで稼働するシステムで用いられる「.action」というURLがサイト内で使用されており、ここから当該ソフトウェアで稼働していたと推測。(以下は攻撃を受けたJETROのサイトのキャッシュより)
情報漏えいの状況
情報漏えいの可能性があるとして発表されている情報をまとめると次の通り。
情報漏えいの可能性のあるサイト | クレジットカード情報 | メールアドレス | その他発表情報 |
---|---|---|---|
都税クレジットカードお支払いサイト | 67万6290件 ⇒36万4181件に訂正 有効期限あり(カード番号は暗号化処理済) |
61万4629件⇒36万2049件に訂正 | 無し |
機構団体信用生命保険特約料クレジットカード支払いサイト | 4万3540件(※) ⇒4万872件に訂正 |
3万3230件(※) ⇒2万8552件 |
加入月3万7349件 氏名・生年月日 3万6377件 住所 3万9085件 電話番号 3万7380件 セキュリティコード 3万1124件 |
JETRO 利用者様登録サイト | 無し | 2万6708件 | 無し |
国際郵便マイページサービス | 無し | 2万9116件 | 送り状1104件 |
科学技術情報発信・流通総合システム | 無し | 無し | 無し |
特許情報プラットフォーム | 無し | 無し | 無し |
沖縄電力 停電情報公開サービス | 無し | 6478件 | 無し |
Radital | 無し | 5万7314件 フォーム:1万130件/会員:4万5984件 |
住所、電話番号が漏えいした可能性。 件数は左と同じ。 |
おかやまオープンデータカタログ | 無し | 無し | 無し |
JINSオンラインショップ | 無し | 118万8364件 | 個人情報74万9754件 |
jSTAT MAP | 無し | 約2.3万件 | 利用時登録した個人情報 約2.3万件 |
B.LEAGUEチケットサイト B.LEAGUE ファンクラブ受付サイト |
3万2187件⇒3万8695件(5/18更新) (ファンクラブ受付含む) 197件⇒379件(5/18更新)の不正利用発生。 被害総額630万円⇒約880万円(5/18更新) |
14万7093件 (複数クラブへの登録を含むと15万4559件) |
氏名、住所、電話番号、生年月日、ID、パスワードも対象 |
「MCML音声インタラクションSDK」外部研究者向け提供サーバー | 無し | 378件 | 開発キット利用者ID、暗号化されたパスワード等378件 |
土地総合情報システム 不動産取引価格アンケート回答(電子回答) |
無し | 不明 | アンケート回答情報 4355件 (氏名・法人名、契約日、取引価格等) 所有権移転登記情報 最大19万4843件⇒その後の調査を通じ流出の確認無し。 |
※ CVV、メールアドレスは「団信クレジット払い専用サイト」にてクレジットカード支払いの申し込みを行った場合対象となる。
公式発表
トヨタファイナンス株式会社
- 2017年3月10日 不正アクセスに関するご報告とお詫び (魚拓)
- 2017年3月14日 続報「不正アクセスに関するご報告とお詫び」 (魚拓)
- 2017年4月5日 続報「不正アクセスに関するご報告とお詫び」 (魚拓)
- 2017年4月14日 続報「不正アクセスに関するご報告とお詫び」(魚拓)
- 2017年4月19日 「都税クレジットカードお支払サイト」への不正アクセスに関するご報告 (魚拓)
- 2017年5月1日 [PDF] 再発防止委員会の調査報告等に関するお知らせ
GMOペイメントゲートウェイ株式会社
- 2017年3月10日 不正アクセスに関するご報告と情報流出のお詫び
- 2017年3月14日 「再発防止委員会」の設置について
- 2017年3月17日 続報
- 2017年3月30日 続報
- 2017年4月04日 続報
- 2017年4月14日 続報
- 2017年4月17日 続報
- 2017年4月19日 続報
東京都
- 2017年3月10日 [PDF] 「都税クレジットカードお支払サイト」における不正アクセスについて
- 2017年3月28日 「都税クレジットカードお支払サイト」への不正アクセスに係る対応について (魚拓)
- 2017年4月19日 「都税クレジットカードお支払サイト」の再開について (魚拓)
独立行政法人 住宅金融支援機構
- 2017年3月10日 事務委託先であるGMOペイメントゲートウェイ株式会社のシステムへの不正アクセス及び個人情報流出について (魚拓)
- 2017年3月17日 事務委託先であるGMOペイメントゲートウェイ株式会社のシステムへの不正アクセス及び個人情報流出のおそれについて<続報> (魚拓)
- 2017年3月29日 事務委託先であるGMOペイメントゲートウェイ株式会社のシステムへの不正アクセス及び個人情報流出のおそれについて<続報2>「お客さまへのお詫びとお願いについて」 (魚拓)
- 2017年4月19日 事務委託先であるGMOペイメントゲートウェイ株式会社のシステムへの不正アクセス及び個人情報流出について<続報3>「現在の対応状況及び不正取得された件数について」(魚拓)
- 2017年6月5日 事務委託先であるGMOペイメントゲートウェイ株式会社のシステムの不正アクセス及び個人情報流出について<続報4>「団信特約料クレジットカード払い専用サイトの再開について」 (魚拓)
国立研究開発法人 科学技術振興機構
- 2017年3月10日 J-STAGE緊急メンテナンスのお知らせ (魚拓)
- 2017年3月15日 J-STAGEサービス再開に際してのお詫び (魚拓)
- 緊急メンテナンスのお知らせ
独立行政法人 工業所有権情報・研修館
- 特許情報プラットフォーム(J-PlatPat)サービスの緊急停止について (魚拓)
- 特許情報プラットフォーム(J-PlatPat)サービスの緊急停止について(続報) (魚拓)
- 2017年3月14日 特許情報プラットフォーム(J-PlatPat)サービスの再開の予定について (魚拓)
- 2017年3月16日 特許情報プラットフォーム(J-PlatPat)サービスの再開のお知らせとお詫びについて (魚拓)
沖縄電力
- 2017年3月15日 [PDF] 当社 Web サイトへの不正アクセスによるコンテンツの改ざんおよびお客さまEメールアドレス等の流出の可能性について
岡山県
- 2017年3月22日 [PDF] 「おかやまオープンデータカタログ」サイトの不正アクセスによる公開停止について
- 2017年3月22日 おかやまオープンデータカタログサイトの公開停止について (魚拓)
株式会社ジェイアイエヌ
- 2017年3月23日 当社サイト(JINSオンラインショップ)への不正アクセスについて (魚拓)
- 2017年3月24日 当社WEBサイトへの不正アクセスについて(セキュリティ対策実施済) 3/24 (魚拓)
ぴあ株式会社
- 2017年4月25日 [PDF] ぴあ社がプラットフォームを提供するB.LEAGUEチケットサイト、及びファンクラブ受付サイトへの不正アクセスによる、個人情報流出に関するお詫びとご報告
- 2017年4月25日 [PDF] 業績予想の修正に関するお知らせ
- 2017年5月18日 [PDF] 「B.LEAGUE チケットサイト及びファンクラブ受付サイトにおける個人情報流出事案に関する、その後のお詫びとご報告」
株式会社ホットファクトリー
- 2017年4月25日 ぴあ株式会社からのリリースについて (魚拓)
情報通信研究機構
- 2017年5月8日 Apache Struts2の脆弱性を悪用した不正アクセスについて
国土交通省
- 2017年6月6日 「土地総合情報システム」における不正アクセスおよび情報流出の可能性について (魚拓)
- 2017年6月14日 「土地総合情報システム」における不正アクセス及び情報流出の調査結果について (魚拓)
インシデントタイムライン
日時 | 出来事 | |
---|---|---|
2017年3月7日 | B.LEAGUEファンクラブ受付サイト、チケットサイトにて不正なアクセスが発生。以降15日まで発生。 | |
2017年3月8日 | J-STAGEへ外部からの不正なアクセスが発生し、これを検知。 | |
2017年3月9日 | J-PlatPatが外部からの不正なアクセスが発生し、これを検知。その後サービスを緊急停止。 | |
同日 | 東京都がIPAよりソフトウェアの脆弱性に関する注意喚起を受け、指定代理納付者への影響調査を開始。 | |
同日 | ジェイアイエヌがStrutsの脆弱性を把握。 | |
同日 | jSTAT MAPに不正なプログラムの設置が行われる。以降複数回行われる。 | |
同日 18時 | GMOペイメイトゲートウェイが影響調査開始。 | |
同日 20時 | GMOペイメントゲートウェイ内で影響を受けるシステムの洗い出し完了。対策検討開始。 | |
同日 21時56分 | GMOペイメントゲートウェイがWAFによる不正パターンによるアクセス遮断を実施。 | |
同日 23時53分 | GMOペイメントゲートウェイが不正アクセスの痕跡を確認。Apache Struts2で稼働するシステム全停止。バックアップシステムに切り替え。 | |
2017年3月10日 0時30分 | GMOペイメントゲートウェイがバックアップシステムに脆弱性対策を実施。2サイトへの不正アクセスを確認。 | |
同日 2時15分 | GMOペイメントゲートウェイが2サイトより情報が窃取された可能性が高いことを確認。 | |
同日 6時20分 | GMOペイメントゲートウェイが窃取された可能性のある内容、件数を確認。 | |
同日 8時40分より | GMOペイメントゲートウェイが東京都、住宅金融支援機構へ報告。対応を協議。 | |
同日 11時15分 | 都税クレジットカードお支払いサイトを停止。 | |
同日 14時頃 | Raditalのサイトが不正アクセスを受けた。 | |
同日 16時頃 | ニッポン放送がRaditaiサイトをネットワークから切り離し。 | |
同日 19時前後 | 沖縄電力停電情報公開サービスが不正アクセスを受け改ざん。 | |
同日 21時 | 沖縄電力が停電情報公開サービスを停止。 | |
同日 | 東京都、トヨタファイナンス、住宅金融支援機構、GMOペイメントゲートウェイが不正アクセスによる情報漏えいの可能性について発表。 | |
同日 | JETROが不正アクセスによる情報漏えいの可能性について発表。 | |
2017年3月12日〜13日 | 国際郵便マイページサービス上で作成された送り状の情報が漏えいした可能性。 | |
同日 22時49分 | 日本郵便が国際郵便マイページサービスを緊急メンテナンス。 | |
2017年3月14日 8時8分 | 国際郵便マイページサービスが復旧。 | |
同日 | 日本郵便が不正アクセスによる情報漏えいの可能性について発表。 | |
2017年3月15日 | 科学技術振興機構がJ-Stageのサービスを再開。 | |
同日 | 沖縄電力が不正アクセスによる情報漏えいの可能性について発表。 | |
2017年3月16日 | 工業所有権情報・研修館がJ-PlatPat サービス停止についてのお詫びを掲載。 | |
2017年3月17日 | GMOペイメントゲートウェイ、住宅金融支援機構が続報発表。 | |
同日 | ニッポン放送がRaditalが不正アクセスを受けたと発表。 | |
同日未明 | 岡山県がおかやまオープンデータカタログへ不正アクセスが行われ外部への攻撃の踏み台となっていることを検知。 | |
同日 4時8分 | 岡山県がおかやまオープンデータカタログを停止。 | |
同日 9時まで | J-PlatPatのサービスが再開。 | |
2017年3月22日 | 岡山県がおかやまオープンデータカタログが不正アクセスを受けたと発表。 | |
同日 | ジェイアイエヌがシステムメンテナンスを行い、Struts 2の脆弱性を解消。 | |
同日 20時 | ジェイアイエヌが不正アクセスを把握し、外部機関へ調査依頼。 | |
2017年3月23日 2時 | ジェイアイエヌが新サーバーを構築し、JINSオンラインショップを移行。 | |
同日 12時30分 | ジェイアイエヌがJINSオンラインショップが不正アクセスを受け情報漏えいした可能性があると発表。 | |
2017年4月4日 | GMOペイメントゲートウェイが情報漏えい(不正取得)が調査により判明したことを発表。 | |
2017年4月11日午前中 | 総務省がウイルス対策ソフトの定期スキャンを通じjSTAT MAPへの不正アクセスを覚知 | |
2017年4月12日12時 | 総務省がjSTAT MAPを停止。 | |
2017年4月13日 | 総務省がjSTAT MAPが不正アクセスを受け情報漏えいした可能性があると発表。 | |
2017年4月19日 | 東京都が都税クレジットカードお支払いサイト再開に関する発表。 | |
2017年4月24日 9時 | 都税クレジットカードお支払いサイト再開 | |
2017年4月25日 | ぴあがB.LEAGUEファンクラブ受付サイト、チケットサイトが不正アクセスを受け情報漏えいした可能性があると発表。 | |
2017年5月8日 | 情報通信研究機構が音声対話研究用のソフトウェア開発キットの外部公開サーバーが不正アクセスを受けていたと発表。 | |
2017年5月18日 | PCFが行った調査結果を受け、ぴあが追加の被害件数等を発表。 | |
2017年5月9日 | 土地総合情報システムに不正アクセスが行われた。 | |
2017年6月2日 | 国土交通省が土地総合情報システムに不正なプログラムが設置されていることを把握。 | |
同日 2時 | 国土交通省が土地総合情報システムのサイトを停止。 | |
2017年6月5日 16時 | 住宅金融支援機構が団信特約料クレジットカード払い専用サイトを再開。 | |
2017年6月6日 | 国土交通省が土地総合情報システムが不正アクセスを受け、アンケート回答者の情報などが漏えいした可能性があると発表。 | |
2017年6月14日 | 国土交通省が土地総合情報システムへの不正アクセスの調査結果を発表。情報流出の確認無し。 |
原因
情報漏えいの可能性が生じた原因をまとめると次の通り。
運営組織 | 原因 | |
---|---|---|
GMOペイメントゲートウェイ | Apache Struts 2の脆弱性を悪用した不正アクセスによる(公式) | |
JETRO | Webサイトに不具合が存在し、外部から攻撃を受けたことによる(報道) *1 | |
日本郵便 | Apache Struts 2の脆弱性を利用した不正アクセスによる(公式) | |
工業所有権情報・研修館 | Apache Struts 2の脆弱性を利用した不正アクセスによる(公式) | |
沖縄電力 | Apache Struts 2の脆弱性を利用したと思われる不正アクセスによる(公式) | |
ニッポン放送 | Apache Struts 2の脆弱性を利用した不正アクセスによる(公式) | |
岡山県 | Apache Struts 2の脆弱性を利用したと思われる不正アクセスによる(報道) *2 | |
ジェイアイエヌ | Apache Struts 2の脆弱性を利用した不正アクセスによる(公式) | |
総務省 | Apache Struts 2の脆弱性を利用した不正アクセスによる(公式) | |
ぴあ | Apache Struts 2の脆弱性 S2-045 を利用した不正アクセスによる(公式、及び脆弱性の詳細は報道*3 ) | |
情報通信研究機構 | Apache Struts 2の脆弱性を利用した不正アクセスによる(公式) | |
国土交通省 | Apache Struts 2の脆弱性を利用した不正アクセスによる(公式) S2-045かどうかは不明。*4 |
ぴあを除いて、いずれも不正アクセスで悪用されたApache Struts 2の脆弱性の具体的な内容を明らかにしていない。ただし、発生時期から見て、直近で脆弱性情報が公開されたS2-045との関連が疑われる。
関連:沖縄電力 停電情報公開サービス改ざん
Webサイトの改ざんは次のように報じられている。
3月13日夜、同社社員が停電情報を公開するWebサイトが改ざんされていることに気が付いた。「男性の写真を背景に、緊急地震速報のようなメッセージが表示されていた」(同)。改ざんされた時期は3月13日午後7時前後から午後9時まで2時間程度という。
http://itpro.nikkeibp.co.jp/atcl/news/17/031600847/
これに合致する改ざんの様子を記録した動画がYoutubeに複数アップロードされていることを確認。(緊急地震速報のアラート音が流れるので再生時注意)
また改ざん時のアーカイブが残っており、これを確認したところ次のコードが埋め込まれていた。
関連:都税クレジットカードお支払いサイト運営元に係る話題
GMOペイメントゲートウェイの2サイトの運営状況を整理すると次の通り。
関連:JINSオンラインショップへの不正アクセス
JINSが運営するサイトが改ざんされていた可能性。
— piyokango (@piyokango) 2017年3月22日
当該ファイルは削除されたのか現在404が返されるが、3月18日頃に取得されたアーカイブやキャッシュにそれらしき情報が存在。
また「データベースを保護した」と書かれており、DBのテーブル名とされるデータも列挙されていた。 pic.twitter.com/rbxXID4rA4
更新履歴
- 2017年3月12日 AM 新規作成
- 2017年3月13日 PM 続報追記
- 2017年3月14日 PM 日本郵便の不正アクセス事案を追記
- 2017年3月15日 PM 沖縄電力の不正アクセス事案を追記
- 2017年3月18日 AM ニッポン放送の不正アクセス事案を追記
- 2017年3月22日 PM 岡山県の不正アクセス事案を追記
- 2017年3月30日 AM ジェイアイエヌの不正アクセス事案を追記
- 2017年4月14日 PM 総務省の不正アクセス事案を追記
- 2017年4月19日 PM 続報追記
- 2017年4月26日 AM ぴあの不正アクセス事案を追記
- 2017年5月9日 PM 情報通信研究機構の不正アクセス事案を追記
- 2017年5月18日 AM ぴあの不正アクセス事案を更新
- 2017年6月7日 AM 国土交通省の不正アクセス事案を追記
- 2017年6月8日 AM 住宅金融支援機構の不正アクセス事案を更新
- 2017年6月15日 AM 国土交通省の不正アクセス事案を更新
*1:ジェトロ 不正アクセスでメールアドレス流出か,毎日新聞,2017年3月12日アクセス
*2:岡山県のStruts2稼動サイト、不正アクセスでDoS攻撃の踏み台に,日経コンピュータ,2017年3月24日アクセス:魚拓
*3:ぴあ運営サイト不正アクセス、Struts2の脆弱性は「S2-045」,ITpro,2017年4月25日アクセス:魚拓
*4:またもStruts2脆弱性被害、国交省で約20万件の情報流出か,ITpro,2017年6月6日アクセス