2017年3月に発生したApache Struts 2で稼働していたとみられるWebサイトへの不正アクセスについてまとめてみた

2017年3月に複数のWebサイトが外部からの不正アクセスを受けたことを発表しています。また一部では不正アクセスが成功し、情報が盗まれたり、データが削除されるといった被害が発生しています。

攻撃を受けたWebサイトApache Struts 2で稼働していたとみられ、またGMOペイメントゲートウェイApache Struts2脆弱性を悪用した不正アクセスであったことを明らかにしています。ここでは3月に発表されたApache Struts 2で稼働するWebサイトへの不正アクセスについてまとめます。

被害状況の概要

攻撃を受けたサイトやその被害概要をまとめると次の通り。

運営元攻撃を受けたサイト被害状況
トヨタファイナンス
GMOペイメントゲートウェイ
都税クレジットカードお支払いサイト(旧)
新しいドメインへ移転
機構団体信用生命保険特約料クレジットカード支払いサイト
サイトに悪意あるプログラムが設置。
クレジットカード情報やメールアドレス等が窃取された可能性。
JETRO相談利用者登録ページ一部情報の削除。
メールアドレスを含むログ情報が窃取された可能性。
科学技術振興機構科学技術情報発信・流通総合システム(J-STAGE)外部からの攻撃を検知しサービスを一時停止。調査の結果影響なし。
工業所有権情報・研修館特許情報プラットフォーム(J-PlatPat)外部からの攻撃を検知。
緊急措置として全サービスを停止。
日本郵便国際郵便マイページサービスサイトに悪意あるプログラムが設置。
送り状やメールアドレスの情報が窃取された可能性。
沖縄電力停電情報公開サービスWebサイトのコンテンツが改ざんされた。
情報漏えいや不正プログラムの有無など調査中。
ニッポン放送RaditalWebサイトのコンテンツが改ざんされた。
会員情報やフォームにて入力された情報が窃取された可能性。
岡山県
県内12市町
おかやまオープンデータカタログ外部への攻撃の踏み台に利用されていた。
ジェイアイエヌJINSオンラインショップショップサイトの個人情報が窃取された可能性。
総務省地図による小地域分析(jSTAT MAP)利用時に登録していた個人情報が窃取された可能性。
ぴあB.LEAGUE チケットサイト
B.LEAGUE ファンクラブ受付サイト
利用時に登録していた個人情報クレジットカード情報が窃取された可能性。
情報通信研究機構「MCML音声インタラクションSDK」外部研究者向け提供サーバーサーバー停止前に不正アクセスを受けていた

一部ではApache Struts 2が原因とは発表していないサイトもこのソフトウェアで稼働するシステムで用いられる「.action」というURLがサイト内で使用されており、ここから当該ソフトウェアで稼働していたと推測。(以下は攻撃を受けたJETROのサイトのキャッシュより)

f:id:Kango:20170312012151p:image:w400

情報漏えいの状況

情報漏えいの可能性があるとして発表されている情報をまとめると次の通り。

情報漏えいの可能性のあるサイトクレジットカード情報メールアドレスその他発表情報
都税クレジットカードお支払いサイト67万6290件
⇒36万4181件に訂正
有効期限あり(カード番号は暗号化処理済)
61万4629件⇒36万2049件に訂正無し
機構団体信用生命保険特約料クレジットカード支払いサイト4万3540件(※)
⇒4万872件に訂正
3万3230件(※)
⇒2万8552件
加入月3万7349件
氏名・生年月日 3万6377件
住所 3万9085件
電話番号 3万7380件
セキュリティコード 3万1124件
JETRO 利用者様登録サイト無し2万6708件無し
国際郵便マイページサービス無し2万9116件送り状1104件
科学技術情報発信・流通総合システム無し無し無し
特許情報プラットフォーム無し無し無し
沖縄電力 停電情報公開サービス無し6478件無し
Radital無し5万7314件
フォーム:1万130件/会員:4万5984件
住所、電話番号が漏えいした可能性。
件数は左と同じ。
おかやまオープンデータカタログ無し無し無し
JINSオンラインショップ無し118万8364件個人情報74万9754件
jSTAT MAP無し約2.3万件利用時登録した個人情報 約2.3万件
B.LEAGUEチケットサイト
B.LEAGUE ファンクラブ受付サイト
3万2187件⇒3万8695件(5/18更新)
(ファンクラブ受付含む)
197件⇒379件(5/18更新)の不正利用発生。
被害総額630万円⇒約880万円(5/18更新)
14万7093件
(複数クラブへの登録を含むと15万4559件)
氏名、住所、電話番号、生年月日、ID、パスワードも対象
「MCML音声インタラクションSDK」外部研究者向け提供サーバー無し378件開発キット利用者ID、暗号化されたパスワード等378件

CVVメールアドレスは「団信クレジット払い専用サイト」にてクレジットカード支払いの申し込みを行った場合対象となる。

公式発表

トヨタファイナンス株式会社
GMOペイメントゲートウェイ株式会社

f:id:Kango:20170312021325p:image:w450

f:id:Kango:20170312021409p:image:w450

東京都
独立行政法人 住宅金融支援機構
独立行政法人 日本貿易振興機構

(参考) [PDF] お客様情報登録/参加申し込み操作手順書

国立研究開発法人 科学技術振興機構

f:id:Kango:20170312012738p:image:w450

独立行政法人 工業所有権情報・研修館

f:id:Kango:20170312013528p:image:w450

日本郵便株式会社

f:id:Kango:20170314230452p:image:w450

沖縄電力
ニッポン放送
岡山県
株式会社ジェイアイエヌ
総務省

f:id:Kango:20170414162510p:image:w450

ぴあ株式会社
B.LEAGUE
株式会社ホットファクトリー
情報通信研究機構

インシデントタイムライン

日時出来事
2017年3月7日B.LEAGUEファンクラブ受付サイト、チケットサイトにて不正なアクセスが発生。以降15日まで発生。
2017年3月8日J-STAGEへ外部からの不正なアクセスが発生し、これを検知。
2017年3月9日J-PlatPatが外部からの不正なアクセスが発生し、これを検知。その後サービスを緊急停止。
同日東京都IPAよりソフトウェア脆弱性に関する注意喚起を受け、指定代理納付者への影響調査を開始。
同日ジェイアイエヌStruts脆弱性を把握。
同日jSTAT MAPに不正なプログラムの設置が行われる。以降複数回行われる。
同日 18時GMOペイメイトゲートウェイが影響調査開始。
同日 20時GMOペイメントゲートウェイ内で影響を受けるシステムの洗い出し完了。対策検討開始。
同日 21時56分GMOペイメントゲートウェイがWAFによる不正パターンによるアクセス遮断を実施。
同日 23時53分GMOペイメントゲートウェイ不正アクセス痕跡を確認。Apache Struts2で稼働するシステム全停止。バックアップシステムに切り替え。
2017年3月10日 0時30分GMOペイメントゲートウェイバックアップシステムに脆弱性対策を実施。2サイトへの不正アクセスを確認。
同日 2時15分GMOペイメントゲートウェイが2サイトより情報が窃取された可能性が高いことを確認。
同日 6時20分GMOペイメントゲートウェイが窃取された可能性のある内容、件数を確認。
同日 8時40分よりGMOペイメントゲートウェイ東京都住宅金融支援機構へ報告。対応を協議。
同日 11時15分都税クレジットカードお支払いサイトを停止。
同日 14時頃Raditalのサイトが不正アクセスを受けた。
同日 16時頃ニッポン放送がRaditaiサイトをネットワークから切り離し。
同日 19時前後沖縄電力停電情報公開サービスが不正アクセスを受け改ざん
同日 21時沖縄電力停電情報公開サービスを停止。
同日東京都トヨタファイナンス住宅金融支援機構GMOペイメントゲートウェイ不正アクセスによる情報漏えいの可能性について発表。
同日JETRO不正アクセスによる情報漏えいの可能性について発表。
2017年3月12日〜13日国際郵便マイページサービス上で作成された送り状の情報が漏えいした可能性。
同日 22時49分日本郵便が国際郵便マイページサービスを緊急メンテナンス
2017年3月14日 8時8分国際郵便マイページサービスが復旧。
同日日本郵便不正アクセスによる情報漏えいの可能性について発表。
2017年3月15日科学技術振興機構J-Stageのサービスを再開。
同日沖縄電力不正アクセスによる情報漏えいの可能性について発表。
2017年3月16日工業所有権情報・研修館がJ-PlatPat サービス停止についてのお詫びを掲載。
2017年3月17日GMOペイメントゲートウェイ住宅金融支援機構が続報発表。
同日ニッポン放送がRaditalが不正アクセスを受けたと発表。
同日未明岡山県がおかやまオープンデータカタログへ不正アクセスが行われ外部への攻撃の踏み台となっていることを検知。
同日 4時8分岡山県がおかやまオープンデータカタログを停止。
同日 9時までJ-PlatPatのサービスが再開。
2017年3月22日岡山県がおかやまオープンデータカタログが不正アクセスを受けたと発表。
同日ジェイアイエヌがシステムメンテナンスを行い、Struts 2の脆弱性を解消。
同日 20時ジェイアイエヌ不正アクセスを把握し、外部機関へ調査依頼。
2017年3月23日 2時ジェイアイエヌが新サーバーを構築し、JINSオンラインショップを移行。
同日 12時30分ジェイアイエヌJINSオンラインショップが不正アクセスを受け情報漏えいした可能性があると発表。
2017年4月4日GMOペイメントゲートウェイが情報漏えい(不正取得)が調査により判明したことを発表。
2017年4月11日午前中総務省ウイルス対策ソフトの定期スキャンを通じjSTAT MAPへの不正アクセスを覚知
2017年4月12日12時総務省がjSTAT MAPを停止。
2017年4月13日総務省がjSTAT MAPが不正アクセスを受け情報漏えいした可能性があると発表。
2017年4月19日東京都が都税クレジットカードお支払いサイト再開に関する発表。
2017年4月24日 9時都税クレジットカードお支払いサイト再開
2017年4月25日ぴあB.LEAGUEファンクラブ受付サイト、チケットサイトが不正アクセスを受け情報漏えいした可能性があると発表。
2017年5月8日情報通信研究機構が音声対話研究用のソフトウェア開発キットの外部公開サーバー不正アクセスを受けていたと発表。
2017年5月18日PCFが行った調査結果を受け、ぴあが追加の被害件数等を発表。

原因

情報漏えいの可能性が生じた原因をまとめると次の通り。

運営組織原因
GMOペイメントゲートウェイApache Struts 2の脆弱性を悪用した不正アクセスによる(公式)
JETROWebサイトに不具合が存在し、外部から攻撃を受けたことによる(報道) *1
日本郵便Apache Struts 2の脆弱性を利用した不正アクセスによる(公式)
工業所有権情報・研修館Apache Struts 2の脆弱性を利用した不正アクセスによる(公式)
沖縄電力Apache Struts 2の脆弱性を利用したと思われる不正アクセスによる(公式)
ニッポン放送Apache Struts 2の脆弱性を利用した不正アクセスによる(公式)
岡山県Apache Struts 2の脆弱性を利用したと思われる不正アクセスによる(報道) *2
ジェイアイエヌApache Struts 2の脆弱性を利用した不正アクセスによる(公式)
総務省Apache Struts 2の脆弱性を利用した不正アクセスによる(公式)
ぴあApache Struts 2の脆弱性 S2-045 を利用した不正アクセスによる(公式、及び脆弱性の詳細は報道*3 )
情報通信研究機構Apache Struts 2の脆弱性を利用した不正アクセスによる(公式)

ぴあを除いて、いずれも不正アクセスで悪用されたApache Struts 2の脆弱性の具体的な内容を明らかにしていない。ただし、発生時期から見て、直近で脆弱性情報が公開されたS2-045との関連が疑われる。

関連:沖縄電力 停電情報公開サービス改ざん

Webサイト改ざんは次のように報じられている。

3月13日夜、同社社員が停電情報を公開するWebサイト改ざんされていることに気が付いた。「男性の写真を背景に、緊急地震速報のようなメッセージが表示されていた」(同)。改ざんされた時期は3月13日午後7時前後から午後9時まで2時間程度という。

http://itpro.nikkeibp.co.jp/atcl/news/17/031600847/

これに合致する改ざんの様子を記録した動画がYoutubeに複数アップロードされていることを確認。(緊急地震速報のアラート音が流れるので再生時注意)

また改ざん時のアーカイブが残っており、これを確認したところ次のコードが埋め込まれていた。

f:id:Kango:20170318012309p:image

関連:都税クレジットカードお支払いサイト運営元に係る話題

GMOペイメントゲートウェイの2サイトの運営状況を整理すると次の通り。

f:id:Kango:20170312011328j:image:w640

関連:JINSオンラインショップへの不正アクセス

更新履歴

*1ジェトロ 不正アクセスでメールアドレス流出か,毎日新聞,2017年3月12日アクセス

*2岡山県のStruts2稼動サイト、不正アクセスでDoS攻撃の踏み台に,日経コンピュータ,2017年3月24日アクセス:魚拓

*3ぴあ運営サイト不正アクセス、Struts2の脆弱性は「S2-045」,ITpro,2017年4月25日アクセス:魚拓

Kango
Kango

piyokangoの日記。備忘録。