コマンドインジェクションの脆弱性に備える

コマンドインジェクションの攻撃が猛威を振るっています。

弊社アーティストオフィシャルサイトへの不正アクセスによる個人情報流出の可能性のお詫びとお知らせ

(1)原因
アクセスログの解析により、使用しているソフトウェアの脆弱性(コマンドインジェクション脆弱性)を突いた不正アクセスであることが判明致しました。
(2)対応 本件の発覚後、該当のサイトに対して、脆弱性への対応を実施し、情報の流出が発生しないよう対策済みです。
(3)今後の対策
二度と同様の事象が発生しないように、対策本部において、不正アクセスの内容分析をすすめ、専門家の意見も反映し、セキュリティー強化と安全性の確保に努めてまいります。
(4)お願い
今回の件に際し、差出人や件名に弊社や弊社アーティストの表記があるメール・メッセージなどにご注意いただきますようお願い致します。弊社から、電話やメールにて、銀行の口座やクレジッ トカード情報、暗証番号、マイナンバーなどの個人情報をお伺いすることは、絶対にございません。 不審な電話やメールについては、応答や開封を控えるなど、ご注意いただきますようお願い致します。

今月に入ってマスコミが狙われたようです。4月20日に日テレ、4月22日にJ-WAVE、4月29日にエイベックスのサイトが乗っ取られて個人情報が流出しています。

日テレが約43万件、J-WAVEが64万人、エイベックスが35万人の個人情報が流出してるので、被害はかなり大きい模様。

3社に共通しているのは、CMSにMovable Typeを使用していたことと、「ケータイキット for Movable Type」というプラグインを導入してたことです。攻撃する側はCMSの脆弱性を狙います。

コマンドインジェクションの脆弱性

コマンドインジェクションとは、ウェブサイトの閲覧者から個人情報などの入力を受け付けるようなサイトに、パラメータにOSコマンドを紛れ込ませて、遠隔から不正にサーバーを乗っ取り攻撃を行います。

どんな被害が起きる?

コマンドインジェクションで起こる被害は次のものが挙げられます。

  • 情報漏えい
  • ファイルの改竄、削除
  • ウィルス感染
  • 踏み台にされる

「ケータイキット for Movable Type」

ケータイキット for Movable Type

今回流出したのは、PCサイトを携帯サイトに変換する「ケータイキット for Movable Type」が原因でした。

「ケータイキット for Movable Type」にOSコマンドインジェクションの脆弱性、利用者は修正バージョンへアップデートを、すでにJ-WAVEへの攻撃で悪用

開発元のideaman’sでは、ケータイキットの脆弱性に関する特設ページを解説して対策をとっています。一応Basic認証のセキュリティーがかかっています。ピリピリしてるのが伝わってきますね。

ケータイキットの脆弱性対策 特設ページ

【重要】ケータイキット for Movable Typeの脆弱性により設置された不正ファイルを、詳細に発見・検査するツールを提供

スマホ対応

レスポンシブやアダプティブのサイト全盛なのに、「ケータイキット for Movable Type」プラグインでスマホ対応するというのが、なんとも古臭い。

WordPressやJoomlaにも5年ほど前は、携帯やスマホに対応させるプラグインがありました。WordpressだとWPTouch MobilePlugin、JoomlaだとMobile Joomlaのプラグインが有名でしたよね。でも最近使ってる人はほとんど見ません。利用者が少ないということは、プラグインのアップデートの更新頻度も確実に下がります。

これらを使ってるなら、プラグインの使用はやめて、メディアクエリやCSSを設定して、レスポンシブやアダプティブに対応した方がいいですよ。

4月20日 日テレの個人情報流出

時系列で見ていきましょう。

弊社ホームページへの不正アクセスによる個人情報流出の可能性について

1)経緯
4月20日13時頃より、弊社ホームページにおいて、ソフトウェアの脆弱性を突いた不正アクセスがあり、調査の結果、情報漏洩が発生した恐れがある範囲を特定致しました。
2)影響範囲
弊社ホームページの一部応募フォームなどから投稿されたもので、約43万件の個人情報が対象となります。その情報には、氏名・住所・電話番号・メールアドレス等が含まれております(クレジットカードの情報は含まれておりません)。
3)原因
ログ解析の結果、攻撃手法はOSに対する命令文を紛れ込ませて不正操作する「OSコマンドインジェクション」と判明しました。

4月22日 J-WAVEの個人情報流出

J-WAVEの被害が一番大きいです。個人情報64万人だもん。

J-WAVE、コマンドインジェクション攻撃による不正アクセス、個人情報64万件が流出した恐れ

株式会社J-WAVEは22日、同社のホームページに不正アクセスがあり、保有する個人情報のうち約64万件が流出した恐れがあると発表した。流出した恐れがあるユーザーには、登録メールアドレスへ順次連絡するとしている。
ソフトウェアの脆弱性を突いた不正アクセスが21日0~3時ごろに発生。攻撃手法はアクセスログの解析によりコマンドインジェクションの脆弱性を突いたものと判明している。2016年4月22日には、ソフトウェアメーカーからパッチファイルが公開されているという。

4月29日 エイベックスの個人情報流出

エイベックスの個人情報が一番少ないのですが、それでも35万人もいますからね。

エイベックス、不正アクセスで個人情報流出か

大手音楽会社のエイベックス・グループ・ホールディングスは、所属アーティストの公式サイトに不正なアクセスがあり、サイト利用者の個人情報約35万件が流出した可能性がある、と発表した。

同社によると、流出の可能性があるのは、サイトで行ったキャンペーンの応募者データ等で、名前や住所、メールアドレス、電話番号など。クレジットカード情報の流出は確認されていない。25日に、使用しているソフトウェアの脆弱ぜいじゃく性を突いた不正アクセスがあったことが判明し、現在は対応済みという。

CMSのプラグインは最新版を

今回はMovable Typeのプラグインの脆弱性を狙った攻撃でしたが、WordpressやJoomlaなどのCMSを使っているならば、プラグインは常に最新版を導入するようにしてください。

プラグインだけでなくCMSのバージョンも最新を保っていかないとダメですけどね。

セキュリティーをしっかり保つのなら、 JPCERT コーディネーションセンター を定期的にチェックするといいですよ。

フォローする

Instagram

▼このエントリーが役に立ったらいいね!
▼このエントリーが役に立ったらいいね!