piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

2017年3月に発生したApache Struts 2で稼働していたとみられるWebサイトへの不正アクセスについてまとめてみた

2017年3月に複数のWebサイトが外部からの不正アクセスを受けたことを発表しています。また一部では不正アクセスが成功し、情報が盗まれたり、データが削除されるといった被害が発生しています。

攻撃を受けたWebサイトはApache Struts 2で稼働していたとみられ、またGMOペイメントゲートウェイApache Struts2脆弱性を悪用した不正アクセスであったことを明らかにしています。ここでは3月に発表されたApache Struts 2で稼働するWebサイトへの不正アクセスについてまとめます。

被害状況の概要

攻撃を受けたサイトやその被害概要をまとめると次の通り。

運営元 攻撃を受けたサイト 被害状況
トヨタファイナンス
GMOペイメントゲートウェイ
都税クレジットカードお支払いサイト(旧)
新しいドメインへ移転
機構団体信用生命保険特約料クレジットカード支払いサイト
サイトに悪意あるプログラムが設置。
クレジットカード情報やメールアドレス等が窃取された可能性。
JETRO 相談利用者登録ページ 一部情報の削除。
メールアドレスを含むログ情報が窃取された可能性。
科学技術振興機構 科学技術情報発信・流通総合システム(J-STAGE) 外部からの攻撃を検知しサービスを一時停止。調査の結果影響なし。
工業所有権情報・研修館 特許情報プラットフォーム(J-PlatPat) 外部からの攻撃を検知。
緊急措置として全サービスを停止。
日本郵便 国際郵便マイページサービス サイトに不正なプログラムが設置。
送り状やメールアドレスの情報が窃取された可能性。
沖縄電力 停電情報公開サービス Webサイトのコンテンツが改ざんされた。
情報漏えいや不正プログラムの有無など調査中。
ニッポン放送 Radital Webサイトのコンテンツが改ざんされた。
会員情報やフォームにて入力された情報が窃取された可能性。
岡山県
県内12市町
おかやまオープンデータカタログ 外部への攻撃の踏み台に利用されていた。
ジェイアイエヌ JINSオンラインショップ ショップサイトの個人情報が窃取された可能性。
総務省 地図による小地域分析(jSTAT MAP) 利用時に登録していた個人情報が窃取された可能性。
ぴあ B.LEAGUE チケットサイト
B.LEAGUE ファンクラブ受付サイト
利用時に登録していた個人情報、クレジットカード情報が窃取された可能性。
情報通信研究機構 「MCML音声インタラクションSDK」外部研究者向け提供サーバー サーバー停止前に不正アクセスを受けていた
国土交通省 土地総合情報システム
不動産取引価格アンケート回答(電子回答)
サイトに不正なプログラムが設置。
アンケート回答者の情報等が窃取された可能性。

一部ではApache Struts 2が原因とは発表していないサイトもこのソフトウェアで稼働するシステムで用いられる「.action」というURLがサイト内で使用されており、ここから当該ソフトウェアで稼働していたと推測。(以下は攻撃を受けたJETROのサイトのキャッシュより)

情報漏えいの状況

情報漏えいの可能性があるとして発表されている情報をまとめると次の通り。

情報漏えいの可能性のあるサイト クレジットカード情報 メールアドレス その他発表情報
都税クレジットカードお支払いサイト 67万6290件
⇒36万4181件に訂正
有効期限あり(カード番号は暗号化処理済)
61万4629件⇒36万2049件に訂正 無し
機構団体信用生命保険特約料クレジットカード支払いサイト 4万3540件(※)
⇒4万872件に訂正
3万3230件(※)
⇒2万8552件
加入月3万7349件
氏名・生年月日 3万6377件
住所 3万9085件
電話番号 3万7380件
セキュリティコード 3万1124件
JETRO 利用者様登録サイト 無し 2万6708件 無し
国際郵便マイページサービス 無し 2万9116件 送り状1104件
科学技術情報発信・流通総合システム 無し 無し 無し
特許情報プラットフォーム 無し 無し 無し
沖縄電力 停電情報公開サービス 無し 6478件 無し
Radital 無し 5万7314件
フォーム:1万130件/会員:4万5984件
住所、電話番号が漏えいした可能性。
件数は左と同じ。
おかやまオープンデータカタログ 無し 無し 無し
JINSオンラインショップ 無し 118万8364件 個人情報74万9754件
jSTAT MAP 無し 約2.3万件 利用時登録した個人情報 約2.3万件
B.LEAGUEチケットサイト
B.LEAGUE ファンクラブ受付サイト
3万2187件⇒3万8695件(5/18更新)
(ファンクラブ受付含む)
197件⇒379件(5/18更新)の不正利用発生。
被害総額630万円⇒約880万円(5/18更新)
14万7093件
(複数クラブへの登録を含むと15万4559件)
氏名、住所、電話番号、生年月日、ID、パスワードも対象
「MCML音声インタラクションSDK」外部研究者向け提供サーバー 無し 378件 開発キット利用者ID、暗号化されたパスワード等378件
土地総合情報システム
不動産取引価格アンケート回答(電子回答)
無し 不明 アンケート回答情報 4355件
(氏名・法人名、契約日、取引価格等)
所有権移転登記情報 最大19万4843件⇒その後の調査を通じ流出の確認無し。

※ CVV、メールアドレスは「団信クレジット払い専用サイト」にてクレジットカード支払いの申し込みを行った場合対象となる。

公式発表

GMOペイメントゲートウェイ株式会社

株式会社ホットファクトリー

インシデントタイムライン

日時 出来事
2017年3月7日 B.LEAGUEファンクラブ受付サイト、チケットサイトにて不正なアクセスが発生。以降15日まで発生。
2017年3月8日 J-STAGEへ外部からの不正なアクセスが発生し、これを検知。
2017年3月9日 J-PlatPatが外部からの不正なアクセスが発生し、これを検知。その後サービスを緊急停止。
同日 東京都がIPAよりソフトウェアの脆弱性に関する注意喚起を受け、指定代理納付者への影響調査を開始。
同日 ジェイアイエヌStruts脆弱性を把握。
同日 jSTAT MAPに不正なプログラムの設置が行われる。以降複数回行われる。
同日 18時 GMOペイメイトゲートウェイが影響調査開始。
同日 20時 GMOペイメントゲートウェイ内で影響を受けるシステムの洗い出し完了。対策検討開始。
同日 21時56分 GMOペイメントゲートウェイがWAFによる不正パターンによるアクセス遮断を実施。
同日 23時53分 GMOペイメントゲートウェイ不正アクセスの痕跡を確認。Apache Struts2で稼働するシステム全停止。バックアップシステムに切り替え。
2017年3月10日 0時30分 GMOペイメントゲートウェイがバックアップシステムに脆弱性対策を実施。2サイトへの不正アクセスを確認。
同日 2時15分 GMOペイメントゲートウェイが2サイトより情報が窃取された可能性が高いことを確認。
同日 6時20分 GMOペイメントゲートウェイが窃取された可能性のある内容、件数を確認。
同日 8時40分より GMOペイメントゲートウェイが東京都、住宅金融支援機構へ報告。対応を協議。
同日 11時15分 都税クレジットカードお支払いサイトを停止。
同日 14時頃 Raditalのサイトが不正アクセスを受けた。
同日 16時頃 ニッポン放送がRaditaiサイトをネットワークから切り離し。
同日 19時前後 沖縄電力停電情報公開サービスが不正アクセスを受け改ざん。
同日 21時 沖縄電力が停電情報公開サービスを停止。
同日 東京都、トヨタファイナンス住宅金融支援機構GMOペイメントゲートウェイ不正アクセスによる情報漏えいの可能性について発表。
同日 JETRO不正アクセスによる情報漏えいの可能性について発表。
2017年3月12日〜13日 国際郵便マイページサービス上で作成された送り状の情報が漏えいした可能性。
同日 22時49分 日本郵便が国際郵便マイページサービスを緊急メンテナンス。
2017年3月14日 8時8分 国際郵便マイページサービスが復旧。
同日 日本郵便不正アクセスによる情報漏えいの可能性について発表。
2017年3月15日 科学技術振興機構J-Stageのサービスを再開。
同日 沖縄電力不正アクセスによる情報漏えいの可能性について発表。
2017年3月16日 工業所有権情報・研修館がJ-PlatPat サービス停止についてのお詫びを掲載。
2017年3月17日 GMOペイメントゲートウェイ住宅金融支援機構が続報発表。
同日 ニッポン放送がRaditalが不正アクセスを受けたと発表。
同日未明 岡山県がおかやまオープンデータカタログへ不正アクセスが行われ外部への攻撃の踏み台となっていることを検知。
同日 4時8分 岡山県がおかやまオープンデータカタログを停止。
同日 9時まで J-PlatPatのサービスが再開。
2017年3月22日 岡山県がおかやまオープンデータカタログが不正アクセスを受けたと発表。
同日 ジェイアイエヌがシステムメンテナンスを行い、Struts 2の脆弱性を解消。
同日 20時 ジェイアイエヌ不正アクセスを把握し、外部機関へ調査依頼。
2017年3月23日 2時 ジェイアイエヌが新サーバーを構築し、JINSオンラインショップを移行。
同日 12時30分 ジェイアイエヌJINSオンラインショップが不正アクセスを受け情報漏えいした可能性があると発表。
2017年4月4日 GMOペイメントゲートウェイが情報漏えい(不正取得)が調査により判明したことを発表。
2017年4月11日午前中 総務省ウイルス対策ソフトの定期スキャンを通じjSTAT MAPへの不正アクセスを覚知
2017年4月12日12時 総務省がjSTAT MAPを停止。
2017年4月13日 総務省がjSTAT MAPが不正アクセスを受け情報漏えいした可能性があると発表。
2017年4月19日 東京都が都税クレジットカードお支払いサイト再開に関する発表。
2017年4月24日 9時 都税クレジットカードお支払いサイト再開
2017年4月25日 ぴあがB.LEAGUEファンクラブ受付サイト、チケットサイトが不正アクセスを受け情報漏えいした可能性があると発表。
2017年5月8日 情報通信研究機構が音声対話研究用のソフトウェア開発キットの外部公開サーバーが不正アクセスを受けていたと発表。
2017年5月18日 PCFが行った調査結果を受け、ぴあが追加の被害件数等を発表。
2017年5月9日 土地総合情報システムに不正アクセスが行われた。
2017年6月2日 国土交通省が土地総合情報システムに不正なプログラムが設置されていることを把握。
同日 2時 国土交通省が土地総合情報システムのサイトを停止。
2017年6月5日 16時 住宅金融支援機構が団信特約料クレジットカード払い専用サイトを再開。
2017年6月6日 国土交通省が土地総合情報システムが不正アクセスを受け、アンケート回答者の情報などが漏えいした可能性があると発表。
2017年6月14日 国土交通省が土地総合情報システムへの不正アクセスの調査結果を発表。情報流出の確認無し。

原因

情報漏えいの可能性が生じた原因をまとめると次の通り。

運営組織 原因
GMOペイメントゲートウェイ Apache Struts 2の脆弱性を悪用した不正アクセスによる(公式)
JETRO Webサイトに不具合が存在し、外部から攻撃を受けたことによる(報道) *1
日本郵便 Apache Struts 2の脆弱性を利用した不正アクセスによる(公式)
工業所有権情報・研修館 Apache Struts 2の脆弱性を利用した不正アクセスによる(公式)
沖縄電力 Apache Struts 2の脆弱性を利用したと思われる不正アクセスによる(公式)
ニッポン放送 Apache Struts 2の脆弱性を利用した不正アクセスによる(公式)
岡山県 Apache Struts 2の脆弱性を利用したと思われる不正アクセスによる(報道) *2
ジェイアイエヌ Apache Struts 2の脆弱性を利用した不正アクセスによる(公式)
総務省 Apache Struts 2の脆弱性を利用した不正アクセスによる(公式)
ぴあ Apache Struts 2の脆弱性 S2-045 を利用した不正アクセスによる(公式、及び脆弱性の詳細は報道*3 )
情報通信研究機構 Apache Struts 2の脆弱性を利用した不正アクセスによる(公式)
国土交通省 Apache Struts 2の脆弱性を利用した不正アクセスによる(公式)
S2-045かどうかは不明。*4

ぴあを除いて、いずれも不正アクセスで悪用されたApache Struts 2の脆弱性の具体的な内容を明らかにしていない。ただし、発生時期から見て、直近で脆弱性情報が公開されたS2-045との関連が疑われる。

関連:沖縄電力 停電情報公開サービス改ざん

Webサイトの改ざんは次のように報じられている。

3月13日夜、同社社員が停電情報を公開するWebサイトが改ざんされていることに気が付いた。「男性の写真を背景に、緊急地震速報のようなメッセージが表示されていた」(同)。改ざんされた時期は3月13日午後7時前後から午後9時まで2時間程度という。

http://itpro.nikkeibp.co.jp/atcl/news/17/031600847/

これに合致する改ざんの様子を記録した動画がYoutubeに複数アップロードされていることを確認。(緊急地震速報のアラート音が流れるので再生時注意)
また改ざん時のアーカイブが残っており、これを確認したところ次のコードが埋め込まれていた。

関連:都税クレジットカードお支払いサイト運営元に係る話題

GMOペイメントゲートウェイの2サイトの運営状況を整理すると次の通り。

関連:JINSオンラインショップへの不正アクセス


更新履歴