ニュース
米信用情報機関の個人情報大量流出、Strutsの脆弱性放置が原因
今回悪用されたApache Strutsの脆弱性は、3月に修正パッチが公開されていた。Equifaxがこの脆弱性を突く不正アクセスの被害に遭ったのは5月中旬だった。
米信用情報機関大手のEquifaxは9月14日、顧客約1億4300万人の個人情報が流出した事件について、米国のWebサイトのアプリケーションに存在していたApache Strutsの脆弱(ぜいじゃく)性(CVE-2017-5638)を悪用されていたことが分かったと発表した。
CVE-2017-5638の脆弱性は3月に発覚し、修正パッチが3月6日付で公開されていた。この時点で既に攻撃が横行していると伝えられ、セキュリティ機関などは直ちにApache Strutsを更新して脆弱性に対処するよう強く勧告していた。
Equifaxの先の説明によれば、同社が今回の不正アクセスに気づいたのは7月29日。不正アクセスは5月中旬から始まっていたという。この時点でまだ、Apache Strutsの脆弱性を修正するパッチを適用していなかったと思われる。
今回の事件に関連して米連邦取引委員会は9月14日、Equifaxをかたって電話などで個人情報を聞き出そうとする詐欺の手口に注意を呼び掛けている。
関連記事
- 米個人情報機関最大手Equifax、1億4300万人の社会保障番号など漏えい
米個人情報機関Equifaxが、7月にサービスへの不正アクセスがあり、約1億4300万人の米国顧客の社会保障番号などの個人情報が流出したと発表した。一部顧客についてはクレジットカード番号も盗まれた可能性があるとしている。 - Apache Struts 2に深刻な脆弱性、既に攻撃が横行 直ちに更新を
この脆弱性は簡単に悪用でき、既に攻撃が横行しているとの情報もあることから、Apache Struts 2を直ちにバージョン2.3.32または2.5.10.1に更新して、脆弱性に対処するよう呼び掛けている。 - Apache Strutsに重大な脆弱性、直ちに更新を
2008年以降にリリースされたStrutsの全バージョンに脆弱性があり、RESTプラグインを使っている全てのWebアプリが影響を受ける。 - Apache Struts2の脆弱性、ファイル暗号化のランサムウェアに悪用
1カ月前に発覚した「Apache Struts2」の脆弱(ぜいじゃく)性が、ランサムウェア「Cerber」の亜種を使った、Windowsに対する攻撃に悪用される事例が多発しているという。 - (更新)Apache Strutsに危険度「高」の脆弱性、攻撃実証コードも公開
悪用された場合に任意のコードを実行される恐れがある。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.