ニュース

J-WAVE、コマンドインジェクション攻撃による不正アクセス、個人情報64万件が流出した恐れ

「ケータイキット for Movable Type」の脆弱性を突かれる

 株式会社J-WAVEは22日、同社のホームページに不正アクセスがあり、保有する個人情報のうち約64万件が流出した恐れがあると発表した。流出した恐れがあるユーザーには、登録メールアドレスへ順次連絡するとしている。

 ソフトウェアの脆弱性を突いた不正アクセスが21日0~3時ごろに発生。攻撃手法はアクセスログの解析によりコマンドインジェクションの脆弱性を突いたものと判明している。2016年4月22日には、ソフトウェアメーカーからパッチファイルが公開されているという。

 漏えいした恐れがあるのは、2007年以降にJ-WAVEのウェブサイトでメッセージの送信やプレゼントの応募を行った際に送信された氏名、住所、メールアドレス、電話番号、性別、年齢、職業の情報。

 同社では、すでに原因となったソフトウェアを削除するとともにソフトウェアの安全性の確認作業を実施し、対策を講じているという。該当する個人情報のデータは、ウェブサーバー上から削除した上で安全な場所に保管する対応を行ったとのこと。

 現在、流出した可能性のある情報の詳細について解析を進めているほか、警察および監督官庁への相談・届出の手続きを開始しているという。

 なお、21日には日本テレビ放送網株式会社がOSコマンドインジェクションによる不正アクセスにより約43万件の個人情報が流出した恐れがあることを発表している。

【追記 16:25】
 J-WAVEによると、コマンドインジェクションの脆弱性があったソフトウェアとは、Movable Type用プラグインの「ケータイキット for Movable Type」。

 同プラグインの開発元であるアイデアマンズ株式会社では22日、緊急パッチファイルを公開、追って23日には脆弱性を修正した最新バージョン「1.65」を公開しており、ユーザーに対してアップデートを呼び掛けている(関連記事『「ケータイキット for Movable Type」にOSコマンドインジェクションの脆弱性、修正バージョン公開』参照)。

 一方、日本テレビ放送網では、具体的なソフト名は公表していない。

(磯谷 智仁/岩崎 宰守)