被害は100万人超!?個人情報の大規模流出が止まらない (2016/3/26 ESET セキュリティブログ)
インターネットを使ったプレゼントの応募やアンケートへの回答は、今や普通におこなわれていますよね。でも、あなたが応募フォームに入力した住所や名前が、いつの間にか第三者の手に渡っていたら……??考えただけでゾッとしますよね ((((;゚Д゚))))
最近、そういう企業サイトのフォームに記入した個人情報が、知らぬ間に大量流出されるという被害が頻出しているんです!なんと日本テレビやエイベックス、J-WAVEなどの有名企業で「数十万人規模」の個人情報流出が相次いでいます!!
「もしかして、私の情報も流れたのでは…??」 と、心配になりますよね(>_<)
今回は、被害の状況と、大規模な個人情報が流出した背景と対策についてまとめます。
国内大手放送局、音楽会社から次々と流出
日本テレビは4月20日、公式サイトに不正アクセスが生じ、約43万件の個人情報が流出したと発表しました。その情報には、氏名・住所・電話番号・メールアドレス等が含まれており、クレジットカード情報は含まれていないとのことです。
次いで、東京にあるFMラジオ局のJ-WAVEも4月21日、公式サイトに不正アクセスが生じて、約64万件の個人情報が流出したと発表しています。こちらも流出したのは氏名や住所などで、クレジットカード情報は含まれていません。
さらに、音楽会社のエイベックスでも、同様の不正アクセス攻撃が生じ、約35万件の情報が流出したと発表しています。
※これらのサービスの利用に心当たりがある場合は、各社のお知らせと対策をご確認いただくことをおすすめします!≡o( ゚Д゚)o
▼J-WAVE WEBサイトへの不正アクセスによる個人情報流出の可能性に関するお知らせ
https://www.j-wave.co.jp/topics/1604_info.htm
▼日テレ:弊社ホームページへの不正アクセスによる個人情報流出の可能性について
http://www.ntv.co.jp/oshirase/index_20160421.html
▼エイベックス:不正アクセスによる個人情報流出の可能性のお詫びとお知らせ
http://v4.eir-parts.net/v4Contents/View.aspx?template=announcement&sid=27850&code=7860
脆弱性を突くコマンドインジェクション
同じような時期に、似たような手口で大量の個人情報が流出した今回の騒動では、共通する原因があることがわかりました。
原因に浮上したのは、サイトで使用されているソフトウェア(Webアプリ)の欠陥を悪用した「コマンド・インジェクション」と呼ばれる攻撃です。
どのような攻撃かというと、例えば、欠陥のあるソフトウェアを使っているサイトに対して、悪意を持つ人がOSコマンドを含んだリクエストを送信します。すると、それらが実行されて、外部からコンピュータを勝手に操作できるようになり、結果、個人情報を外部に流出させたり、サイトを改ざんして、ウイルスをばらまく温床に作り変えてしまうことも…!悪質ですよね (`Д´#)
自分のサイトも最新アップデートを!
今回のケースでは、サイト構築に使われたMovable TypeなどのCMSのプラグインに欠陥があったと考えられています。その脆弱性を狙ったコマンド・インジェクションの攻撃より、大量の個人情報が盗み出されるという結果となりました。
今回攻撃された企業サイトは氷山の一角で、同じツールが使われているWebサイトは無数にあると予測がつきますよね。被害を防ぐためには、管理者がソフトの欠陥情報を入手し、早急にアップデート作業を行うことが不可欠です!!
もし、ご自分で管理している個人・企業サイトがあれば、CMSそのものと、プラグインが最新バージョンになっているかどうか、すぐに確認してください。システム管理を業者等にまかせている場合は、問い合わせをして確認することをおすすめします。
- 関連記事
- 改正サイバー法の成立
- マイナンバー漏洩時に想定される損害
- マイナンバーだけじゃない!?中小企業が知っておくべき個人情報保護法の改正のポイントとは?
- 東日本大震災でもあった標的型メール―震災に便乗した「なりすまし」に注意を
- ネットバンキングの不正送金が過去最悪の30億円に!あなたの口座は大丈夫?