(cache) 2017年3月に発生したApache Struts 2で稼働していたとみられるWebサイトへの不正アクセスについてまとめてみた

2017年3月に複数のWebサイトが外部からの不正アクセスを受けたことを発表しています。また一部では不正アクセスが成功し、情報が盗まれたり、データが削除されるといった被害が発生しています。

攻撃を受けたWebサイトはApache Struts 2で稼働していたとみられ、またGMOペイメントゲートウェイはApache Struts2の脆弱性を悪用した不正アクセスであったことを明らかにしています。ここでは3月に発表されたApache Struts 2で稼働するWebサイトへの不正アクセスについてまとめます。

被害状況の概要

攻撃を受けたサイトやその被害概要をまとめると次の通り。

運営元	攻撃を受けたサイト	被害状況
GMOペイメントゲートウェイ	都税クレジットカードお支払いサイト機構団体信用生命保険特約料クレジットカード支払いサイト	サイトに悪意あるプログラムが設置。クレジットカード情報やメールアドレス等が窃取された可能性。
JETRO	相談利用者登録ページ	一部情報の削除。メールアドレスを含むログ情報が窃取された可能性。
科学技術振興機構	科学技術情報発信・流通総合システム(J-STAGE)	外部からの攻撃を検知。
工業所有権情報・研修館	特許情報プラットフォーム(J-PlatPat)	外部からの攻撃を検知。緊急措置として全サービスを停止。

Apache Struts 2とは発表していないサイトもこのソフトウェアで稼働するシステムで用いられる「.action」というURLがサイト内で使用されており、ここから当該ソフトウェアで稼働していたと推測。(以下は攻撃を受けたJETROのサイトのキャッシュより)

情報漏えいの状況

情報漏えいの可能性があるとして発表されている情報をまとめると次の通り。

情報漏えいの可能性のあるサイト	クレジットカード情報	メールアドレス	その他発表情報
都税クレジットカードお支払いサイト	67万6290件 (カード番号は暗号化処理済)	61万4629件	無し
機構団体信用生命保険特約料クレジットカード支払いサイト	4万3540件	3万3230件	加入月3万7349件
JETRO 利用者様登録サイト	無し	2万6708件	無し

公式発表

独立行政法人　 工業所有権情報・研修館

インシデント タイムライン

日時	出来事
2017年3月8日	J-STAGEへ外部から不正なアクセスが発生し、これを検知。
2017年 3月9日	東京都がIPAよりソフトウェアの脆弱性に関する注意喚起を受け、指定代理納付者への影響調査を開始。
同日 18時	GMOペイメイトゲートウェイが影響調査開始。
同日 20時	GMOペイメントゲートウェイ内で影響を受けるシステムの洗い出し完了。対策検討開始。
同日 21時56分	GMOペイメントゲートウェイがWAFによる不正パターンによるアクセス遮断を実施。
同日 23時53分	GMOペイメントゲートウェイが不正アクセスの痕跡を確認。Apache Struts2で稼働するシステム全停止。バックアップシステムに切り替え。
2017年3月10日 0時30分	GMOペイメントゲートウェイがバックアップシステムに脆弱性対策を実施。2サイトへの不正アクセスを確認。
同日 2時15分	GMOペイメントゲートウェイが2サイトより情報が窃取された可能性が高いことを確認。
同日 6時20分	GMOペイメントゲートウェイが窃取された可能性のある内容、件数を確認。
同日 8時40分より	GMOペイメントゲートウェイが東京都、住宅金融支援機構へ報告。対応を協議。
同日 11時15分	都税クレジットカードお支払いサイトを停止。
同日	東京都、トヨタファイナンス、住宅金融支援機構、GMOペイメントゲートウェイが不正アクセスによる情報漏えいの可能性について発表。
同日	JETROが不正アクセスによる情報漏えいの可能性について発表。

原因

情報漏えいの可能性が生じた原因をまとめると次の通り。

運営組織	原因
GMOペイメントゲートウェイ	Apache Struts 2の脆弱性を悪用した不正アクセスによる(公式)
JETRO	Webサイトに不具合が存在し、外部から攻撃を受けたことによる(報道) *1