日本テレビ放送網は4月21日、同社のウェブサイトから最大で43万件の情報漏えいがあった可能性があると公表した。
日本テレビでは、4月20日16時ごろにサーバの負荷が急上昇していることを発見。調査の結果、「OSコマンドインジェクション」と呼ばれる攻撃により、同日13時ごろに最初の不正アクセスがあったことを確認した。
また、17時ごろにデータベース内にあった非公開情報がコピーされていたことが発覚。「おしゃれイズム」など15の番組に関する意見募集フォーム、プレゼント応募フォームに登録した約43万件の個人情報が流出した可能性があるとしている。
流出した可能性のある個人情報は、氏名、住所、電話番号、メールアドレスなどで、クレジットカードに関連する情報は含まれていない。また、21日未明までにデータを安全な保存場所に移動。現時点では新たな流出は確認されていないという。
OSコマンドインジェクションとは、ユーザーが何らかの情報を入力したり操作するウェブサイトにおいて、入力する情報にサイトのシステムやアプリケーションに対する命令文を紛れ込ませて、攻撃者が不正に操作できるようにする攻撃を指す。
ウェブサイトのシステム側で、命令文となる不正な文字列をはじくよう設定されていない場合、文字列を適切に処理できず、OSコマンドインジェクションの被害に遭う可能性がある。不正プログラムの感染や情報漏えいなどにもつながってくる。
トレンドマイクロによれば、OSコマンドインジェクションは、特定のアプリケーションやシステムに依存する脆弱性というよりは、構築したウェブサイト側で独自に実装したツールや設定により引き起こされるケースが多いという。
この攻撃方法は、ウェブサイトを攻撃する手段として比較的よく見られるもので、2015年3月にはデータベース「MongoDB」の管理ツール「phpMoAdmin」において、リモートでコードが実行されるゼロデイの脆弱性が確認されている。2014年9月にもオープンソースプログラム「Bourne Agfain shell(bash)」においても同様のコマンドインジェクションを受ける脆弱性が発見されている。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
「程よく明るい」照明がオフィスにもたらす
業務生産性の向上への意外な効果
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
住環境に求められる「安心、安全、快適」
を可視化するための“ものさし”とは?