PC用メガネ JINS PCでお馴染みのメガネのオンラインストア「JINSオンラインショップ」に不正アクセスがあり、74万件を超える個人情報に対し、第三者がアクセスできる状態にあったというニュースが入ってきました。
Apache Struts 2の脆弱性を悪用された
今回の件は、ウェブアプリケーションフレームワーク「Apache Struts 2」の脆弱性を悪用されたもので、不正アクセスを行った第三者が一定期間、個人情報へアクセスできる状況にあり、対象となる情報は、メールアドレス、氏名、住所、電話番号、生年月日、性別が74万9745件、メールアドレスのみが43万8610件と発表されています。
注意喚起から対応までの間に悪用される
Apache Struts 2の脆弱性については、3月8日に独立行政法人情報処理推進機構(IPA)が注意喚起を行っていますが、JINSオンラインショップが回収作業を実施したのは3月22日で2週間のタイムラグがあり、その2週間の間に悪用され、改修作業時にその事実が判明しています。
JINSオンラインショップの他にも、3月10日にGMOペイメントゲートウェイ株式会社が運営受託している「東京都税クレジットカード支払いサイト」、3月14日に日本郵便株式会社の「国際郵便マイページサービス」で、この脆弱性を突いた不正アクセスが発覚しています。
「JINS」のオンラインショップに不正アクセス、「Apache Struts 2」の脆弱性を突かれる
更新:Apache Struts2 の脆弱性対策について(CVE-2017-5638)(S2-045)(S2-046):IPA 独立行政法人 情報処理推進機構
「Apache Struts 2」に遠隔からコード実行可能な脆弱性、実証コードによる攻撃も観測
2月にあったWordPressの脆弱性を利用した改ざん被害も、脆弱性を改修した最新版にアップデートしていないサイトが被害にあっています。
システムの脆弱性への対応は迅速に!
今回のApache Struts 2の脆弱性も、先日のWordPressの脆弱性も、脆弱性を改修したバージョンが公開され、注意喚起があったわけですが、実際に対応しないうちに不正アクセスや改ざんの被害を受けてしまっています。
脆弱性が確認され、改修したバージョンが公開されたら、できるだけ時間をおかずに適用することで、被害を防ぐことができます。
脆弱性への対応はスピードが命です!
WordPressの脆弱性情報は公式ブログで確認できます
WordPressの脆弱性や最新版公開の情報は、WordPress公式ブログで公開されますので、WordPressサイトのウェブ担当者さん、オーナーさんは、こまめにチェックしておくようにしましょう。
自分で更新できるウェブサイトで成果を上げる
スマホ対応やHTTPS化など、先を見据えたウェブサイトづくりを心がけ、成果を上げるための仕組み作りのご提案もさせていただきます。
現在運用中のウェブサイトのリニューアルも承ります。