2017年3月に発生したApache Struts 2で稼働していたとみられるWebサイトへの不正アクセスについてまとめてみた

2017年3月に複数のWebサイトが外部からの不正アクセスを受けたことを発表しています。また一部では不正アクセスが成功し、情報が盗まれたり、データが削除されるといった被害が発生しています。

攻撃を受けたWebサイトApache Struts 2で稼働していたとみられ、またGMOペイメントゲートウェイApache Struts2脆弱性を悪用した不正アクセスであったことを明らかにしています。ここでは3月に発表されたApache Struts 2で稼働するWebサイトへの不正アクセスについてまとめます。

被害状況の概要

攻撃を受けたサイトやその被害概要をまとめると次の通り。

運営元攻撃を受けたサイト被害状況
GMOペイメントゲートウェイ都税クレジットカードお支払いサイト
機構団体信用生命保険特約料クレジットカード支払いサイト
サイトに悪意あるプログラムが設置。
クレジットカード情報やメールアドレス等が窃取された可能性。
JETRO相談利用者登録ページ一部情報の削除。
メールアドレスを含むログ情報が窃取された可能性。
科学技術振興機構科学技術情報発信・流通総合システム(J-STAGE)外部からの攻撃を検知。
工業所有権情報・研修館特許情報プラットフォーム(J-PlatPat)外部からの攻撃を検知。
緊急措置として全サービスを停止。
日本郵便国際郵便マイページサービスサイトに悪意あるプログラムが設置。
送り状やメールアドレスの情報が窃取された可能性。
沖縄電力停電情報公開サービスWebサイトのコンテンツが改ざんされた。
情報漏えいや不正プログラムの有無など調査中。
ニッポン放送RaditalWebサイトのコンテンツが改ざんされた。
会員情報やフォームにて入力された情報が窃取された可能性。
岡山県
県内12市町
おかやまオープンデータカタログ外部への攻撃の踏み台に利用されていた。

Apache Struts 2とは発表していないサイトもこのソフトウェアで稼働するシステムで用いられる「.action」というURLがサイト内で使用されており、ここから当該ソフトウェアで稼働していたと推測。(以下は攻撃を受けたJETROのサイトのキャッシュより)

f:id:Kango:20170312012151p:image:w400

情報漏えいの状況

情報漏えいの可能性があるとして発表されている情報をまとめると次の通り。

情報漏えいの可能性のあるサイトクレジットカード情報メールアドレスその他発表情報
都税クレジットカードお支払いサイト67万6290件
(カード番号は暗号化処理済)
61万4629件無し
機構団体信用生命保険特約料クレジットカード支払いサイト4万3540件(※)3万3230件(※)加入月3万7349件
JETRO 利用者様登録サイト無し2万6708件無し
国際郵便マイページサービス無し2万9116件送り状1104件
科学技術情報発信・流通総合システム無し無し無し
特許情報プラットフォーム無し無し無し
沖縄電力 停電情報公開サービス無し6478件無し
Radital無し5万7314件
フォーム:1万130件/会員:4万5984件
住所、電話番号が漏えいした可能性。
件数は左と同じ。
おかやまオープンデータカタログ無し無し無し

CVVメールアドレスは「団信クレジット払い専用サイト」にてクレジットカード支払いの申し込みを行った場合対象となる。

公式発表

トヨタファイナンス株式会社
GMOペイメントゲートウェイ株式会社

f:id:Kango:20170312021325p:image:w450

f:id:Kango:20170312021409p:image:w450

東京都
独立行政法人 住宅金融支援機構
独立行政法人 日本貿易振興機構

(参考) [PDF] お客様情報登録/参加申し込み操作手順書

国立研究開発法人 科学技術振興機構

f:id:Kango:20170312012738p:image:w450

独立行政法人 工業所有権情報・研修館

f:id:Kango:20170312013528p:image:w450

日本郵便株式会社

f:id:Kango:20170314230452p:image:w450

沖縄電力
ニッポン放送
岡山県

インシデントタイムライン

日時出来事
2017年3月8日J-STAGEへ外部からの不正なアクセスが発生し、これを検知。
2017年3月9日J-PlatPatが外部からの不正なアクセスが発生し、これを検知。その後サービスを緊急停止。
同日東京都IPAよりソフトウェア脆弱性に関する注意喚起を受け、指定代理納付者への影響調査を開始。
同日 18時GMOペイメイトゲートウェイが影響調査開始。
同日 20時GMOペイメントゲートウェイ内で影響を受けるシステムの洗い出し完了。対策検討開始。
同日 21時56分GMOペイメントゲートウェイがWAFによる不正パターンによるアクセス遮断を実施。
同日 23時53分GMOペイメントゲートウェイ不正アクセス痕跡を確認。Apache Struts2で稼働するシステム全停止。バックアップシステムに切り替え。
2017年3月10日 0時30分GMOペイメントゲートウェイバックアップシステムに脆弱性対策を実施。2サイトへの不正アクセスを確認。
同日 2時15分GMOペイメントゲートウェイが2サイトより情報が窃取された可能性が高いことを確認。
同日 6時20分GMOペイメントゲートウェイが窃取された可能性のある内容、件数を確認。
同日 8時40分よりGMOペイメントゲートウェイ東京都住宅金融支援機構へ報告。対応を協議。
同日 11時15分都税クレジットカードお支払いサイトを停止。
同日 14時頃Raditalのサイトが不正アクセスを受けた。
同日 16時頃ニッポン放送がRaditaiサイトをネットワークから切り離し。
同日 19時前後沖縄電力停電情報公開サービスが不正アクセスを受け改ざん
同日 21時沖縄電力停電情報公開サービスを停止。
同日東京都トヨタファイナンス住宅金融支援機構GMOペイメントゲートウェイ不正アクセスによる情報漏えいの可能性について発表。
同日JETRO不正アクセスによる情報漏えいの可能性について発表。
2017年3月12日〜13日国際郵便マイページサービス上で作成された送り状の情報が漏えいした可能性。
同日 22時49分日本郵便が国際郵便マイページサービスを緊急メンテナンス
2017年3月14日 8時8分国際郵便マイページサービスが復旧。
同日日本郵便不正アクセスによる情報漏えいの可能性について発表。
2017年3月15日科学技術振興機構J-Stageのサービスを再開。
同日沖縄電力不正アクセスによる情報漏えいの可能性について発表。
2017年3月16日工業所有権情報・研修館がJ-PlatPat サービス停止についてのお詫びを掲載。
2017年3月17日GMOペイメントゲートウェイ住宅金融支援機構が続報発表。
同日ニッポン放送がRaditalが不正アクセスを受けたと発表。
同日未明岡山県がおかやまオープンデータカタログへ不正アクセスが行われ外部への攻撃の踏み台となっていることを検知。
同日 4時8分岡山県がおかやまオープンデータカタログを停止。
同日 9時までJ-PlatPatのサービスが再開。
2017年3月22日岡山県がおかやまオープンデータカタログが不正アクセスを受けたと発表。

原因

情報漏えいの可能性が生じた原因をまとめると次の通り。

運営組織原因
GMOペイメントゲートウェイApache Struts 2の脆弱性を悪用した不正アクセスによる(公式)
JETROWebサイトに不具合が存在し、外部から攻撃を受けたことによる(報道) *1
日本郵便Apache Struts 2の脆弱性を利用した不正アクセスによる(公式)
工業所有権情報・研修館Apache Struts 2の脆弱性を利用した不正アクセスによる(公式)
沖縄電力Apache Struts 2の脆弱性を利用したと思われる不正アクセスによる(公式)
ニッポン放送Apache Struts 2の脆弱性を利用した不正アクセスによる(公式)
岡山県Apache Struts 2の脆弱性を利用したと思われる不正アクセスによる(報道) *2

GMOペイメントゲートウェイ日本郵便不正アクセスで悪用されたApache Struts 2の脆弱性の具体的な内容を明らかにしていない。発生時期から見て、先日脆弱性情報が公開されていたS2-045との関連が疑われる。

関連:沖縄電力 停電情報公開サービス改ざん

Webサイト改ざんは次のように報じられている。

3月13日夜、同社社員が停電情報を公開するWebサイト改ざんされていることに気が付いた。「男性の写真を背景に、緊急地震速報のようなメッセージが表示されていた」(同)。改ざんされた時期は3月13日午後7時前後から午後9時まで2時間程度という。

http://itpro.nikkeibp.co.jp/atcl/news/17/031600847/

これに合致する改ざんの様子を記録した動画がYoutubeに複数アップロードされていることを確認。(緊急地震速報のアラート音が流れるので再生時注意)

また改ざん時のアーカイブが残っており、これを確認したところ次のコードが埋め込まれていた。

f:id:Kango:20170318012309p:image

関連:都税クレジットカードお支払いサイト運営元に係る話題

GMOペイメントゲートウェイの2サイトの運営状況を整理すると次の通り。

f:id:Kango:20170312011328j:image:w640

更新履歴

*1ジェトロ 不正アクセスでメールアドレス流出か,毎日新聞,2017年3月12日アクセス

*2岡山県のStruts2稼動サイト、不正アクセスでDoS攻撃の踏み台に,日経コンピュータ,2017年3月24日アクセス:魚拓

Kango
Kango

piyokangoの日記。備忘録。