日テレで43万件の個人情報流出--攻撃に使われた「OSコマンドインジェクション」とは？

　日本テレビ放送網は4月21日、同社のウェブサイトから最大で43万件の情報漏えいがあった可能性があると公表した。

　日本テレビでは、4月20日16時ごろにサーバの負荷が急上昇していることを発見。調査の結果、「OSコマンドインジェクション」と呼ばれる攻撃により、同日13時ごろに最初の不正アクセスがあったことを確認した。

　また、17時ごろにデータベース内にあった非公開情報がコピーされていたことが発覚。「おしゃれイズム」など15の番組に関する意見募集フォーム、プレゼント応募フォームに登録した約43万件の個人情報が流出した可能性があるとしている。

　流出した可能性のある個人情報は、氏名、住所、電話番号、メールアドレスなどで、クレジットカードに関連する情報は含まれていない。また、21日未明までにデータを安全な保存場所に移動。現時点では新たな流出は確認されていないという。

個人情報が流出した恐れのある番組・企画の一覧

OSコマンドインジェクションとは？

　OSコマンドインジェクションとは、ユーザーが何らかの情報を入力したり操作するウェブサイトにおいて、入力する情報にサイトのシステムやアプリケーションに対する命令文を紛れ込ませて、攻撃者が不正に操作できるようにする攻撃を指す。

　ウェブサイトのシステム側で、命令文となる不正な文字列をはじくよう設定されていない場合、文字列を適切に処理できず、OSコマンドインジェクションの被害に遭う可能性がある。不正プログラムの感染や情報漏えいなどにもつながってくる。

　トレンドマイクロによれば、OSコマンドインジェクションは、特定のアプリケーションやシステムに依存する脆弱性というよりは、構築したウェブサイト側で独自に実装したツールや設定により引き起こされるケースが多いという。

OSコマンドインジェクションのイメージ図（画像提供：トレンドマイクロ）

　この攻撃方法は、ウェブサイトを攻撃する手段として比較的よく見られるもので、2015年3月にはデータベース「MongoDB」の管理ツール「phpMoAdmin」において、リモートでコードが実行されるゼロデイの脆弱性が確認されている。2014年9月にもオープンソースプログラム「Bourne Agfain shell（bash）」においても同様のコマンドインジェクションを受ける脆弱性が発見されている。