日本テレビWebサイト 不正アクセスにより43万件の個人情報漏えい

日本テレビは4月21日、日本テレビウェブサイトに不正アクセスが発生し、43万件の個人情報が漏えいした可能性があると発表した。漏えいした個人情報には氏名、住所、電話番号、メールアドレスが含まれており、クレジットカード情報などの金融情報は漏洩しておらず、悪用された形跡もないとされている。

今回の事件は日本テレビWebサイトのシステムの高負荷やアクセス増を検知したためにログ解析を実施し調査したところ、OSコマンドインジェクションが発見されたものとされている。日本テレビはユーザーへの連絡、問題が確認されたソフトウェア削除、データの退避をおこなった上で外部の情報セキュリティの専門家を含む調査委員会を設置し調査をおこなうとしている。個人情報が漏えいした可能性のあるユーザへの謝礼などについては明らかになっていない。

OSコマンドインジェクションとは、WEBサイト等でプログラムに与えるパラメータにOSに対する命令文（コマンド）を紛れ込ませ、不正に操作する攻撃方法のことである。
OSコマンドインジェクションはSQLインジェクションとともにここ数年攻撃の被害事例が増えている。直近ではbashやApache Struts2の脆弱性をついた攻撃などが頻発していた。企業としてはアプリケーション側の脆弱性対策を適切に実施することが前提ではあるが、WAFを導入するなどして各種のインジェクション攻撃を水際で防御することも重要である。

＜関連情報＞
プライバシーマーク（Pマーク）に関心がある方はこちらへ
ISMS（ISO27001）に関心がある方はこちらへ

一覧へ