J-WAVEでも64万件の個人情報が流出--原因は「Movable Type」のプラグイン

　J-WAVEは4月23日、同社ウェブサイトに不正アクセスがあり、最大で64万件の個人情報が流出した可能性があると発表した。

　流出した可能性のある情報は、2007年以降J-WAVEウェブサイトから番組宛てに送られたメッセージやプレゼント応募者データの個人情報。名前、住所、メールアドレス、電話番号、性別、年齢、職業が含まれるとしている。クレジットカード情報は含まれていない。

　不正アクセスは、2016年4月21日0～3時ごろにかけて発生。アクセスログの解析から、「Movable Type」用のプラグイン「ケータイキット for Movable Type」の脆弱性を突いたものだと判明している。開発元のアイデアマンズでは、4月22日に緊急パッチファイルを提供。翌日には脆弱性を修正したアップデートファイルを配布しており、4月25日にはセキュリティチェック用のツールを公開した。

　J-WAVEでは、今回の情報流出について「コマンドインジェクション」を利用した攻撃であることを明かしている。なお、4月21日には日本テレビ放送網も、OSコマンドインジェクション攻撃により43万件の情報流出が発生したと発表している。ただし、日本テレビでは使用していたソフトについては公開していない。

攻撃者は常にセキュリティホールを探している

　コマンドインジェクションは、ユーザーが何らかの情報を入力・操作するウェブサイトにおいて、サイトのシステムやアプリケーションに対する命令文を紛れ込ませることで、攻撃者が不正に操作できるようにする攻撃。

　ウェブサイトのシステム側で、命令文となる不正な文字列を排除できない場合、攻撃者が操作できてしまう状態になる。これにより、情報流出や不正なプログラムの感染、システムを踏み台に他のウェブサイトへの攻撃などに加担してしまう可能性がある。

　セキュリティベンダーのトレンドマイクロによると、コマンドインジェクションを使った大規模な攻撃が行われているといった情報は今のところないという。しかし、攻撃者は常にセキュリティホールを探し攻撃を続けており、セキュリティ意識を高めたシステム運用が必要だとしている。