こんにちは。

先週末、ジェイアイエヌが展開するメガネ販売の「JINS」のオンラインショップが不正アクセスを受け、約120万件の個人情報が第三者にアクセスされた可能性があるというニュースが流れました。

このニュースを聞いて「また!!」と思いました。

2013年にも不正アクセス

というのも、JINSオンラインショップでは2013年にも不正アクセスにより個人情報漏えい事故が起きていたからです。

2013年の件はWebアプリケーションフレームワーク「Apach Struts2」の脆弱性を突いて不正侵入され、バックドアプログラムを設置し、第三者のサーバーのクレジットカード情報が転送されるようにプログラムを改竄され。2059件のクレジットカード情報が漏えいし、不正利用されるというものでした。

当時、再発防止策として、クレジットカード決済システムの国際的なセキュリティ基準である「PCI DSS」に準拠した体制を構築するとし、システム的には、カード決済の際に、決済代行会社のWebサイトへ移動し、顧客のクレジットカード情報がJINSのサーバーを一切通過しない方式に変更しました。

今回は約120万件の個人情報が流出

今回、約120万件もの個人情報が盗まれたようですが、前回のこのシステム的な変更のおかげで今回は、クレジットカード情報に関しては被害が出ないで済んだ模様です。

今回、流出したと思われる個人情報は、メールアドレス、氏名、住所、電話番号、生年月日、性別のセットが約75万件、メールアドレスのみが約44万件とのことです。

Struts2の脆弱性への攻撃

今回の不正アクセスですが、狙われたのは、前回と同じ「Apach Struts2」の脆弱性で、先日、GMOペイメントゲートウェイの管理するWebサイトでも不正アクセスがあり、やく72万件もの個人情報が流出したStruts2で任意のコードを実行できる脆弱性(S2-045、CVE-2017-5638)を悪用したものでした。

Struts2の脆弱性に対して3月9日には認識し、22日に対応作業を行う計画を立てて実施した後に、過去に遡って調べたところ、不正アクセスの痕跡を発見したとのことです。

このStruts2脆弱性への攻撃は、国内ではGMOペイメントゲートウェイ、JINS以外でも、日本郵便や沖縄電力、ニッポン放送等のWebサイトにおいても被害が確認されており、まだまだ拡大する気配を見せています。

3月13日のブログにも記載しましたが、な脆弱性対策の詳細については、IPAの「Apache Struts2 の脆弱性対策について(CVE-2017-5638)(S2-045)」に詳しく記載されています。

なお、JINSでは現在は新しいサーバーを構築して、脆弱性対策済みのアプリケーションに移行したとのことです。

どうすれば被害を防げるのか?

JINSでは、過去に苦い経験をしていますので、PCI DSSに準拠するなどセキュリティに関しては、相当に慎重にWebサイトを運営していたはずですが、それでも被害にあってしまいました。

現時点では、いつの時点で不正アクセスを受けたのかは不明でフォレンジック調査の結果を待たなければなりませんが、9日に脆弱性の情報を認識した時点で、Webサイトをクローズし、すぐに対策を実施していれば、防げた可能性があります

オンラインショップを一時的とはいえ、閉鎖することは、その間の売上が無くなりますので、経済的な損失は発生しますが、不正アクセスの被害にあってしまえば、それをはるかに超える損害が発生します。

前回は約1万2000人の顧客に1000円のクオカードを送る対応をされたそうですが、今回も同じ対応を取るとなるとそれだけで120万×1000円=12億円?にもなってしまいます。

JINSほどの会社であれば、恐らく個人情報漏えいに関する保険にも入っているでしょうが、小さな企業であれば、会社存続の危機となる金額です。

Struts2に限らず、ソフトウェアというものに完璧な安全を求めることは不可能ですので、今後も、別の脆弱性を突いた攻撃は確実に発生します。

脆弱性に関する情報をいち早く認識し、それに対応できる体制作りと、万一の場合のリスクを考慮し、必要があればWebサイトを一時的に停止する勇気が必要ですね。