書籍「いちばんやさしいGoogleビジネスプロフィールの教本」

コマンドインジェクションの脆弱性に備える

伊藤亜津佐 伊藤亜津佐
Webサイト制作セキュリティー

コマンドインジェクションの攻撃が猛威を振るっています。

今月に入ってマスコミが狙われたようです。4月20日に日テレ、4月22日にJ-WAVE、4月29日にエイベックスのサイトが乗っ取られて個人情報が流出しています。

日テレが約43万件、J-WAVEが64万人、エイベックスが35万人の個人情報が流出してるので、被害はかなり大きい模様。

3社に共通しているのは、CMSにMovable Typeを使用していたことと、「ケータイキット for Movable Type」というプラグインを導入してたことです。攻撃する側はCMSの脆弱性を狙います。

安全なウェブサイトの作り方 – 1.2 OSコマンド・インジェクション

コマンドインジェクションの脆弱性

コマンドインジェクションとは、ウェブサイトの閲覧者から個人情報などの入力を受け付けるようなサイトに、パラメータにOSコマンドを紛れ込ませて、遠隔から不正にサーバーを乗っ取り攻撃を行います。

どんな被害が起きる?

コマンドインジェクションで起こる被害は次のものが挙げられます。

  • 情報漏えい
  • ファイルの改竄、削除
  • ウィルス感染
  • 踏み台にされる

「ケータイキット for Movable Type」

ケータイキット for Movable Type

今回流出したのは、PCサイトを携帯サイトに変換する「ケータイキット for Movable Type」が原因でした。

「ケータイキット for Movable Type」にOSコマンドインジェクションの脆弱性、利用者は修正バージョンへアップデートを、すでにJ-WAVEへの攻撃で悪用

今回の問題が発覚後、開発元のideaman’sでは、ケータイキットに設置された不正ファイルと発見できるツールを提供し、対策を取っています。

スマホ対応

レスポンシブやアダプティブのサイト全盛なのに、「ケータイキット for Movable Type」プラグインでスマホ対応するというのが、なんとも古臭い。

WordPressやJoomlaにも5年ほど前は、携帯やスマホに対応させるプラグインがありました。WordpressだとWPTouch MobilePlugin、JoomlaだとMobile Joomlaのプラグインが有名でしたよね。でも最近使ってる人はほとんど見ません。利用者が少ないということは、プラグインのアップデートの更新頻度も確実に下がります。

これらを使ってるなら、プラグインの使用はやめて、メディアクエリやCSSを設定して、レスポンシブやアダプティブに対応した方がいいですよ。

4月20日 日テレの個人情報流出

時系列で見ていきましょう。

1)経緯
4月20日13時頃より、弊社ホームページにおいて、ソフトウェアの脆弱性を突いた不正アクセスがあり、調査の結果、情報漏洩が発生した恐れがある範囲を特定致しました。
2)影響範囲
弊社ホームページの一部応募フォームなどから投稿されたもので、約43万件の個人情報が対象となります。その情報には、氏名・住所・電話番号・メールアドレス等が含まれております(クレジットカードの情報は含まれておりません)。
3)原因
ログ解析の結果、攻撃手法はOSに対する命令文を紛れ込ませて不正操作する「OSコマンドインジェクション」と判明しました。

弊社ホームページへの不正アクセスによる個人情報流出の可能性について

4月22日 J-WAVEの個人情報流出

J-WAVEの被害が一番大きいです。個人情報64万人だもん。

株式会社J-WAVEは22日、同社のホームページに不正アクセスがあり、保有する個人情報のうち約64万件が流出した恐れがあると発表した。流出した恐れがあるユーザーには、登録メールアドレスへ順次連絡するとしている。
ソフトウェアの脆弱性を突いた不正アクセスが21日0~3時ごろに発生。攻撃手法はアクセスログの解析によりコマンドインジェクションの脆弱性を突いたものと判明している。2016年4月22日には、ソフトウェアメーカーからパッチファイルが公開されているという。

J-WAVE、コマンドインジェクション攻撃による不正アクセス、個人情報64万件が流出した恐れ

4月29日 エイベックスの個人情報流出

エイベックスの個人情報が一番少ないのですが、それでも35万人もいますからね。

エイベックス・グループ・ホールディングスは29日までに、同社サイトに不正アクセスがあり、アンケートやオーディションなどに応募した人の氏名や住所、電話番号、メールアドレスなどの個人情報約35万件が流出した可能性があると発表した。悪用など二次被害の報告はないという。

同社やグループ会社の契約アーティストの公式サイトなどで使用するソフトに脆弱性があったのが原因で、25日に内部調査で判明。有料会員サービスからのクレジットカード情報などの流出は確認されていない。

エイベックス、個人情報35万件流出か 不正アクセスで

CMSのプラグインは最新版を

今回はMovable Typeのプラグインの脆弱性を狙った攻撃でしたが、WordpressやJoomlaなどのCMSを使っているならば、プラグインは常に最新版を導入するようにしてください。

プラグインだけでなくCMSのバージョンも最新版を導入が必須です。

セキュリティーをしっかり保つのなら、 JPCERT コーディネーションセンター を定期的にチェックすることをオススメします。

執筆者
伊藤亜津佐
伊藤亜津佐

iSchool合同会社 代表社員。SEOとローカル検索を起点にWeb集客をサポートしています。

書籍

いちばんやさしいGoogleビジネスプロフィールの教本
書籍「いちばんやさしいGoogleマイビジネス+ローカルSEOの教本」

書籍

いちばんやさしいGoogleビジネスプロフィールの教本
書籍「いちばんやさしいGoogleマイビジネス+ローカルSEOの教本」