画像:日本テレビHPより

日本テレビは2016年4月21日、同社のWebサイトが何者かによって不正アクセスを受け、最大で43万件の個人情報が流出したと発表しました

事件の経緯

img_12081_1

日本テレビによると、4月20日13時ごろに同社がWebのモバイルサイトで利用しているケータイキットと呼ばれるソフトウェアが不正アクセスによる攻撃を受けたとのことです。

この不正アクセスの結果、最大で43万件におよぶ個人情報(氏名、住所や電話番号など)が外部に流出した可能性が高いとのことです。

同社では翌21日の未明までに速やかに不正アクセスが行われる原因となった脆弱性のあるソフトウェアを削除して利用できなくするとともに、個人情報などのデータを別の安全な場所に移すといった対策を取ったとのことです。

併せて、被害を受けた関係者に対して連絡を取るほか外部の専門家による調査委員会を設置してさらなる原因の究明と再発防止策の実施に努めるとしています。

事件の原因(問題点)

この事件の原因としては日本テレビがモバイルサイトで利用していたケータイキットと呼ばれるソフトウェアに存在していた脆弱性です。

具体的には、「OSコマンド・インジェクション」と呼ばれるもので、閲覧者からの入力や操作が出来るWebサイトで、OSに対して操作できるような命令文を入れ込んで、不正な攻撃を加えるものです。例えば、Webサイトの閲覧者がリモートでサーバを操作するコマンドを入力し、サーバを乗っ取ってしまうような事例がそれです。

今回のケースでは、このOSコマンド・インジェクション攻撃の結果、ケータイキット上に不正な遠隔操作プログラムが設置され、それを利用してシステム内部を捜索し不正に情報が取得されています。まとめると今回のケースの問題点は以下の3つであると考えられます。

  1. ソフトウェアに存在した未知の脆弱性(ソフトウェアは最新版のv1.641)だった
  2. ソフトウェアがIPAに示されている安全なセキュリティ対策に基づいたものではなかった
  3. 不正な攻撃を防ぐことが出来なかった内部システムの防御態勢の問題

あらためて原因を考えてみると、ソフトウェアが十分なセキュリティ対策を講じていなかったこと、そして、内部情報にアクセスできないようにする十分な侵入防御の仕組みが十分にとられていなかった可能性が高いと考えられます。

漏洩した情報は何か

今回の事故の結果として外部に流出してしまった情報は、日本テレビの番組の視聴者がプレゼントやテーマ募集などに応募した際の下記個人情報です。

  • 氏名
  • 住所
  • 電話番号
  • メールアドレス

流出総数は最大で約43万件とのことです。

事件後の対応はどうだったのか

日本テレビは事件発覚後、すぐに問題のあるソフトウェアの利用の停止と削除を実施、および個人情報データを別のサーバに移動しています。併せて、個人情報の流出の可能性がある利用者への連絡を行うとともに、今後専門家による調査委員会を設置し、原因の究明と対策を進めていくとの方針を発表しています。

この結果は7月14日付で公表され、事件の詳細な経緯と原因、そして再発防止策について詳細な報告がなされています。

まとめ(筆者所感)

本件では、日本テレビがモバイルサイトで利用していたケータイキットと呼ばれるソフトウェアに含まれていた脆弱性が原因であると発表されています。

また、不正な攻撃を許してしまったネットワークの防御体制にも問題があったのではないかと考えられます。

事件が発生した原因としては、脆弱性を不正に悪用した「OSコマンド・インジェクション」と呼ばれる攻撃でケータイキットの未知の脆弱性が悪用されて、PCが遠隔操作されたことが挙げられます。

しかし、そもそも未知の脆弱性に対する防御が出来るようになっていれば、こういった事件は起こりえませんでした。やはり根本的な原因としては、未知の脆弱性が悪用された場合への対策が十分でなかったことではないでしょうか。

今回のケースに限らず、多くのセキュリティ事故について言えることですが、既知の脆弱性に対応するのはある程度対策をしっかりと行うことで可能ですが、未知の脆弱性に対応するのは難しい面があります。

しかし、不審な動きをするアクセスを遮断するなど、しかるべき対策を行うことで、こういった未知の脆弱性を利用した攻撃も確実に防いでいくことが必要です。

情報漏洩セキュリティ対策ハンドブックプレゼント

メルマガ登録で、下記内容の「情報漏洩セキュリティ対策ハンドブック」プレゼント

1.はじめに


2.近年の個人情報漏洩の状況


3. 内部要因による情報漏洩
3-1.被害実例
3−2.内部犯行による被害統計情報
3-3.内部犯行による情報漏洩が増え続ける3つの原因
3-4.内部犯行を減らすための対策


4. 外部要因による情報漏洩
4−1.近年の個人情報漏洩の状況
4−2.実際の近年のサイバー攻撃による企業の被害実例
4−3.サイバー攻撃の統計情報
4-4.サイバー攻撃がふえ続ける5つの原因
4-5.急増する日本の企業のWEBサイト改ざんへの対策
4-6.サイバー攻撃の種類を把握しよう
4-7.日本におけるサイバー攻撃に対する国の対応と今後
4-8.外部要因による情報漏洩のセキュリティ対策

無料でここまでわかります!
ぜひ下記より無料ダウンロードしてみてはいかがでしょうか?