コマンドインジェクションの脆弱性に備える

コマンドインジェクションの攻撃が猛威を振るっています。

弊社アーティストオフィシャルサイトへの不正アクセスによる個人情報流出の可能性のお詫びとお知らせ

(1)原因
アクセスログの解析により、使用しているソフトウェアの脆弱性(コマンドインジェクション脆弱性)を突いた不正アクセスであることが判明致しました。
(2)対応 本件の発覚後、該当のサイトに対して、脆弱性への対応を実施し、情報の流出が発生しないよう対策済みです。
(3)今後の対策
二度と同様の事象が発生しないように、対策本部において、不正アクセスの内容分析をすすめ、専門家の意見も反映し、セキュリティー強化と安全性の確保に努めてまいります。
(4)お願い
今回の件に際し、差出人や件名に弊社や弊社アーティストの表記があるメール・メッセージなどにご注意いただきますようお願い致します。弊社から、電話やメールにて、銀行の口座やクレジッ トカード情報、暗証番号、マイナンバーなどの個人情報をお伺いすることは、絶対にございません。 不審な電話やメールについては、応答や開封を控えるなど、ご注意いただきますようお願い致します。

今月に入ってマスコミが狙われたようです。4月20日に日テレ、4月22日にJ-WAVE、4月29日にエイベックスのサイトが乗っ取られて個人情報が流出しています。

日テレが約43万件、J-WAVEが64万人、エイベックスが35万人の個人情報が流出してるので、被害はかなり大きい模様。

3社に共通しているのは、CMSにMovable Typeを使用していたことと、「ケータイキット for Movable Type」というプラグインを導入してたことです。攻撃する側はCMSの脆弱性を狙います。

スポンサーリンク
レクダンクル(大)

コマンドインジェクションの脆弱性

コマンドインジェクションとは、ウェブサイトの閲覧者から個人情報などの入力を受け付けるようなサイトに、パラメータにOSコマンドを紛れ込ませて、遠隔から不正にサーバーを乗っ取り攻撃を行います。

どんな被害が起きる?

コマンドインジェクションで起こる被害は次のものが挙げられます。

  • 情報漏えい
  • ファイルの改竄、削除
  • ウィルス感染
  • 踏み台にされる

「ケータイキット for Movable Type」

ケータイキット for Movable Type

今回流出したのは、PCサイトを携帯サイトに変換する「ケータイキット for Movable Type」が原因でした。

「ケータイキット for Movable Type」にOSコマンドインジェクションの脆弱性、利用者は修正バージョンへアップデートを、すでにJ-WAVEへの攻撃で悪用

今回の問題が発覚後、開発元のideaman’sでは、ケータイキットに設置された不正ファイルと発見できるツールを提供し、対策を取っています。

【重要】ケータイキット for Movable Typeの脆弱性により設置された不正ファイルを、詳細に発見・検査するツールを提供

スマホ対応

レスポンシブやアダプティブのサイト全盛なのに、「ケータイキット for Movable Type」プラグインでスマホ対応するというのが、なんとも古臭い。

WordPressやJoomlaにも5年ほど前は、携帯やスマホに対応させるプラグインがありました。WordpressだとWPTouch MobilePlugin、JoomlaだとMobile Joomlaのプラグインが有名でしたよね。でも最近使ってる人はほとんど見ません。利用者が少ないということは、プラグインのアップデートの更新頻度も確実に下がります。

これらを使ってるなら、プラグインの使用はやめて、メディアクエリやCSSを設定して、レスポンシブやアダプティブに対応した方がいいですよ。

4月20日 日テレの個人情報流出

時系列で見ていきましょう。

弊社ホームページへの不正アクセスによる個人情報流出の可能性について

1)経緯
4月20日13時頃より、弊社ホームページにおいて、ソフトウェアの脆弱性を突いた不正アクセスがあり、調査の結果、情報漏洩が発生した恐れがある範囲を特定致しました。
2)影響範囲
弊社ホームページの一部応募フォームなどから投稿されたもので、約43万件の個人情報が対象となります。その情報には、氏名・住所・電話番号・メールアドレス等が含まれております(クレジットカードの情報は含まれておりません)。
3)原因
ログ解析の結果、攻撃手法はOSに対する命令文を紛れ込ませて不正操作する「OSコマンドインジェクション」と判明しました。

4月22日 J-WAVEの個人情報流出

J-WAVEの被害が一番大きいです。個人情報64万人だもん。

J-WAVE、コマンドインジェクション攻撃による不正アクセス、個人情報64万件が流出した恐れ

株式会社J-WAVEは22日、同社のホームページに不正アクセスがあり、保有する個人情報のうち約64万件が流出した恐れがあると発表した。流出した恐れがあるユーザーには、登録メールアドレスへ順次連絡するとしている。
ソフトウェアの脆弱性を突いた不正アクセスが21日0~3時ごろに発生。攻撃手法はアクセスログの解析によりコマンドインジェクションの脆弱性を突いたものと判明している。2016年4月22日には、ソフトウェアメーカーからパッチファイルが公開されているという。

4月29日 エイベックスの個人情報流出

エイベックスの個人情報が一番少ないのですが、それでも35万人もいますからね。

エイベックス、個人情報35万件流出か 不正アクセスで

エイベックス・グループ・ホールディングスは29日までに、同社サイトに不正アクセスがあり、アンケートやオーディションなどに応募した人の氏名や住所、電話番号、メールアドレスなどの個人情報約35万件が流出した可能性があると発表した。悪用など二次被害の報告はないという。

同社やグループ会社の契約アーティストの公式サイトなどで使用するソフトに脆弱性があったのが原因で、25日に内部調査で判明。有料会員サービスからのクレジットカード情報などの流出は確認されていない。

CMSのプラグインは最新版を

今回はMovable Typeのプラグインの脆弱性を狙った攻撃でしたが、WordpressやJoomlaなどのCMSを使っているならば、プラグインは常に最新版を導入するようにしてください。

プラグインだけでなくCMSのバージョンも最新版を導入が必須です。

セキュリティーをしっかり保つのなら、 JPCERT コーディネーションセンター を定期的にチェックすることをオススメします。

スポンサーリンク
レクダンクル(大)
レクダンクル(大)

フォローする

Instagram

▼このエントリーが役に立ったらいいね!
▼このエントリーが役に立ったらいいね!
スポンサーリンク