ニュース
» 2017年09月15日 07時45分 公開

米信用情報機関の個人情報大量流出、Strutsの脆弱性放置が原因

今回悪用されたApache Strutsの脆弱性は、3月に修正パッチが公開されていた。Equifaxがこの脆弱性を突く不正アクセスの被害に遭ったのは5月中旬だった。

[鈴木聖子,ITmedia]
個人情報の大量流出はStrutsの脆弱性を放置したことが原因 個人情報の大量流出はStrutsの脆弱性を放置したことが原因

 米信用情報機関大手のEquifaxは9月14日、顧客約1億4300万人の個人情報が流出した事件について、米国のWebサイトのアプリケーションに存在していたApache Strutsの脆弱(ぜいじゃく)性(CVE-2017-5638)を悪用されていたことが分かったと発表した。

Equifaxの説明 Equifaxの説明

 CVE-2017-5638の脆弱性は3月に発覚し、修正パッチが3月6日付で公開されていた。この時点で既に攻撃が横行していると伝えられ、セキュリティ機関などは直ちにApache Strutsを更新して脆弱性に対処するよう強く勧告していた。

 Equifaxの先の説明によれば、同社が今回の不正アクセスに気づいたのは7月29日。不正アクセスは5月中旬から始まっていたという。この時点でまだ、Apache Strutsの脆弱性を修正するパッチを適用していなかったと思われる。

 今回の事件に関連して米連邦取引委員会は9月14日、Equifaxをかたって電話などで個人情報を聞き出そうとする詐欺の手口に注意を呼び掛けている。

FTCは電話などによる詐欺に注意を呼びかけ FTCは電話などによる詐欺に注意を呼びかけ

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

ピックアップコンテンツ

- PR -

注目のテーマ