システムの脆弱性への対応は迅速にすべし!

 

PC用メガネ JINS PCでお馴染みのメガネのオンラインストア「JINSオンラインショップ」に不正アクセスがあり、74万件を超える個人情報に対し、第三者がアクセスできる状態にあったというニュースが入ってきました。

 

Apache Struts 2の脆弱性を悪用された

今回の件は、ウェブアプリケーションフレームワーク「Apache Struts 2」の脆弱性を悪用されたもので、不正アクセスを行った第三者が一定期間、個人情報へアクセスできる状況にあり、対象となる情報は、メールアドレス、氏名、住所、電話番号、生年月日、性別が74万9745件、メールアドレスのみが43万8610件と発表されています。

お知らせ | JINS – 眼鏡(メガネ・めがね)

 

注意喚起から対応までの間に悪用される

Apache Struts 2の脆弱性については、3月8日に独立行政法人情報処理推進機構(IPA)が注意喚起を行っていますが、JINSオンラインショップが回収作業を実施したのは3月22日で2週間のタイムラグがあり、その2週間の間に悪用され、改修作業時にその事実が判明しています。

JINSオンラインショップの他にも、3月10日にGMOペイメントゲートウェイ株式会社が運営受託している「東京都税クレジットカード支払いサイト」、3月14日に日本郵便株式会社の「国際郵便マイページサービス」で、この脆弱性を突いた不正アクセスが発覚しています。

「JINS」のオンラインショップに不正アクセス、「Apache Struts 2」の脆弱性を突かれる

更新:Apache Struts2 の脆弱性対策について(CVE-2017-5638)(S2-045)(S2-046):IPA 独立行政法人 情報処理推進機構

「Apache Struts 2」に遠隔からコード実行可能な脆弱性、実証コードによる攻撃も観測

 

2月にあったWordPressの脆弱性を利用した改ざん被害も、脆弱性を改修した最新版にアップデートしていないサイトが被害にあっています。

 

システムの脆弱性への対応は迅速に!

今回のApache Struts 2の脆弱性も、先日のWordPressの脆弱性も、脆弱性を改修したバージョンが公開され、注意喚起があったわけですが、実際に対応しないうちに不正アクセスや改ざんの被害を受けてしまっています。

脆弱性が確認され、改修したバージョンが公開されたら、できるだけ時間をおかずに適用することで、被害を防ぐことができます。

脆弱性への対応はスピードが命です!

 

 

WordPressの脆弱性情報は公式ブログで確認できます

WordPressの脆弱性や最新版公開の情報は、WordPress公式ブログで公開されますので、WordPressサイトのウェブ担当者さん、オーナーさんは、こまめにチェックしておくようにしましょう。

日本語

 

投稿者プロフィール

kikuchi
kikuchiフジデンキ パソコン・ウェブ制作担当
1963年 福島県三春町生まれ。
街の電器屋から、今はパソコン屋兼ウェブ屋として活動。
ウェブ制作環境はMacとAdobe CCがメイン。

WordPressを使ったシンプルで機能的なウェブサイトをつくって
小さなお店や会社の皆さんに活用してもらいたいと思っています。

penchi.jp
@penchi - Medium

自分で更新できるウェブサイトで成果を上げる

「自分で更新できるウェブサイトを提供したい」とWordPressサイトの制作を始めてから10年以上。
スマホ対応やHTTPS化など、先を見据えたウェブサイトづくりを心がけ、成果を上げるための仕組み作りのご提案もさせていただきます。

現在運用中のウェブサイトのリニューアルも承ります。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です