「JINS」のオンラインショップに不正アクセス、「Apache Struts 2」の脆弱性を突かれる

不正アクセス被害についての告知ページ。電話・メールでの問い合わせ窓口を開設している

　株式会社ジェイアイエヌは、同社が運営するメガネのオンラインストア「JINSオンラインショップ」に不正アクセスがあったことを発表した。ウェブアプリケーションフレームワーク「Apache Struts 2」の脆弱性を悪用されたものだという。

　不正アクセスが確認されたのは3月22日。不正アクセスを行った第三者が一定期間、個人情報へアクセスできる状況にあったという。対象となる情報は、メールアドレス、氏名、住所、電話番号、生年月日、性別が74万9745件、メールアドレスのみが43万8610件。クレジットカード情報はサーバーに保管していないため、漏えいは確認されていないとしている。

　Apache Struts 2の脆弱性をめぐっては、3月8日の時点で独立行政法人情報処理推進機構（IPA）が注意喚起を行っている。しかしながら、GMOペイメントゲートウェイ株式会社が運営受託している「東京都税クレジットカード支払いサイト」で3月10日に、日本郵便株式会社の「国際郵便マイページサービス」でも3月14日に、この脆弱性を突いた不正アクセスが発覚している。

　ジェイアイエヌによれば、3月9日にはApache Struts 2の脆弱性に関する情報を認知し、3月22日に改修作業を行うことを決定。予定どおり作業が完了したが、その作業当日の過程において、すでに不正アクセスされていたことが分かったという。このため、現在運用中のオンラインショップ用サーバーではすでに対策が施されている。

　JINSオンラインショップでは、2013年3月にも不正アクセス被害を受けており、この際にはクレジットカード情報が流出。不正決済の被害が発生した。