ニュース

Apache Struts 2の脆弱性で日本郵便のサイトにも不正アクセス、国際郵便用サービスの登録メールアドレス2万9116件、送り状1104件が流出

 日本郵便株式会社は14日、Apache Struts 2の脆弱性を悪用した不正アクセスが発生したことを発表した。「国際郵便マイページサービス」のサイトに登録されているメールアドレス2万9116件と、同サイトで12~13日に作成された送り状1104件が流出した可能性があるという。

 国際郵便マイページサービスでは、EMS、国際eパケット、国際eパケットライト、国際小包、国際書留郵便の発送に必要な書類すべての印刷ができる「オンラインシッピングツール」「EMSラベル印字ネット受付サービス」などを提供しており、利用には会員登録が必要。今回流出したメールアドレスは、この会員登録に用いられたもの。

 不正アクセスは、アプリケーションフレームワーク「Apache Struts 2」の脆弱性「CVE-2017-5638/S2-045」が悪用されたもの。米国時間の3月7日、開発元のApache Software Foundationより脆弱性の情報が公開されており、すでに脆弱性を修正した最新版がリリースされていた。

 日本郵便では13日10時30分、国際郵便マイページサービスを運用する2台のサーバーのうち1台に、作成した覚えのないファイルを検出。このサーバーを切り離し、もう1台によるサービス運用を継続していた。しかし、残る1台のログからも攻撃を検出したため、同22時49分にサービスを緊急停止。Apache Struts 2を最新版に更新するなどの措置を講じ、翌14日8時8分にサービスを再開したという。

 日本郵便によれば、Apache Struts 2の脆弱性を悪用した攻撃が観測されていることを10日の時点で把握していたが、サービスを停止せずに対応を進めていたため、攻撃を受けるまでに対処が間に合わなかったという。日本郵便では、情報が流出した可能性のあるユーザーに対し、個別に連絡を取るとしている。また、同サイトの閲覧者がマルウェアに感染するなどの影響はないとしている。

 この脆弱性の実証コードや攻撃用のツールもすでにウェブ上に出回っており、8日から10日にかけて、NTTセキュリティ・ジャパン株式会社や独立行政法人情報処理推進機構(IPA)セキュリティセンター、一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)、株式会社ラックが、これを悪用した攻撃を観測したとして、相次いで注意喚起を行っていた。

 また、GMOペイメントゲートウェイ株式会社でも、運営を受託している東京都税クレジットカード支払いサイトおよび独立行政法人住宅金融支援機構の団体信用生命保険特約料のクレジットカード支払いサイトにおいて、同じ脆弱性を悪用した不正アクセスにより、利用者のクレジットカード番号・有効期限など合計72万件近くの情報が流出した可能性があることを10日に発表している。