東京都では納税者のカード情報流出の可能性がある

ウェブアプリケーション作成のためのフレームワークである「Apache Struts2」(アパッチ ストラッツ2)の脆弱性を突いた情報流出が相次いでいる。8日、情報処理推進機構(IPA)が注意喚起を行っているが、日本郵便や東京都、住宅金融支援機構、日本貿易振興機構(JETRO)などで顧客や納税者の情報流出の可能性があるなど、被害は広がっている。

日本郵便では国際郵便の送り状やインボイスを作成できる「国際郵便マイページサービス」サイトが攻撃を受け、送り状1104件、メールアドレス2万9116件が流出した可能性があるという。13日にサイトを緊急停止し、14日に再開している。JETROでも相談利用者ページに登録されたメールアドレス2万6708件に流出の疑いがある。

東京都では主税局の「都税クレジットカードお支払サイト」に不正アクセスがあり、同一情報の重複があるものの67万6290件のカード情報が流出の可能性があるという。サイトは10日から利用できなくなっている。住宅金融支援機構ではクレジットカード情報4万3540件が対象。都主税局と住宅金融支援機構はGMOペイメントゲートウェイが受託運営を行っている。

アップデートを行えば攻撃者によるコード実行は防ぐことができる(出典:IPAホームページ)

IPAによるとApache Struts2には悪意ある人物が遠隔攻撃を行い、情報流出などのコードを実行できる脆弱性があったという。同ソフトはウェブアプリケーションの作成が比較的容易で、商用でも幅広く使われている。すでに脆弱性解消のバージョンアップは済んでおり、IPAは利用者に早急なアップデートを呼びかけている。

■Apache Struts2 の脆弱性対策について(IPA)
https://www.ipa.go.jp/security/ciadr/vul/20170308-struts.html

(了)