個人情報大量流出のEquifax、今度は公式サイトに不正なリンク掲載
Equifaxの公式サイトのリンクをクリックすると、Flash Playerのインストール画面に見せかけた不正なページにリダイレクトされ、アドウェアをインストールさせる仕掛けになっていた。
顧客約1億4550万人の個人情報が流出する事件が起きた米信用情報機関大手のEquifaxで、今度は偽のFlash PlayerダウンロードページへのリンクがWebサイトに掲載されていた問題が発覚した。
この問題は、セキュリティ研究者のランディ・エイブラムズ氏が10月11日に自身のブログで報告した。それによると、同氏がEquifaxの公式サイトで自分のクレジットリポートを確認しようとして、サイト上のリンクをクリックしたところ、不正なページにリダイレクトされ、Flash Playerのインストール画面に見せかけたページが表示されたという。
ランディ・エイブラムズ氏がEquifaxのWebサイト上のリンクをクリックしたところ、不正なページにリダイレクトされ、Flash Playerのインストール画面に見せかけたページが表示された(出典:Security Through Absurdity)Equifaxはメディア各社に寄せた声明で、「equifax.com」のWebサイトに掲載されたクレジットリポートアシスタントのリンクに問題があったことを確認し、このページを一時的にダウンさせたことを明らかにした。
米メディアArs Technicaによると、問題のページでは「MediaDownloaderIron.exe」というアドウェアをインストールさせる仕掛けになっていた。Equifaxのサイトに不正なリンクが掲載された理由は不明だが、Equifaxが使っていたサードパーティーの広告ネットワークや分析ツールが原因だった可能性が指摘されている。
Equifaxは、Apache Strutsの脆弱性が放置されていたことが原因で、大量の個人情報が流出していたことが9月に発覚。その後もTwitterで偽サイトへのリンクをツイートするなどのトラブルが相次いだ。
関連記事
Equifaxの情報流出は「人為ミスと技術的失敗」、前CEOが証言
Equifaxのセキュリティ部門が行ったスキャンではApache Strutsの脆弱性を発見できず、同社のセキュリティツールも不正アクセスを検出できなかった。
米個人情報機関最大手Equifax、1億4300万人の社会保障番号など漏えい
米個人情報機関Equifaxが、7月にサービスへの不正アクセスがあり、約1億4300万人の米国顧客の社会保障番号などの個人情報が流出したと発表した。一部顧客についてはクレジットカード番号も盗まれた可能性があるとしている。
米信用情報機関の個人情報大量流出、Strutsの脆弱性放置が原因
今回悪用されたApache Strutsの脆弱性は、3月に修正パッチが公開されていた。Equifaxがこの脆弱性を突く不正アクセスの被害に遭ったのは5月中旬だった。
Apache Struts 2に深刻な脆弱性、既に攻撃が横行 直ちに更新を
この脆弱性は簡単に悪用でき、既に攻撃が横行しているとの情報もあることから、Apache Struts 2を直ちにバージョン2.3.32または2.5.10.1に更新して、脆弱性に対処するよう呼び掛けている。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
アイティメディアからのお知らせ
注目のテーマ
人気記事ランキング
- セールスフォースにも決められない? AIエージェント、「いくらが適正価格か」問題が勃発
- 「フリーWi-Fiは使うな」 一見真実に思える“安全神話”はもう時代遅れ
- 7-Zipに深刻な脆弱性 旧バージョンは早急なアップデートを
- ランサム被害の8割超が復旧失敗 浮き彫りになったバックアップ運用の欠陥
- AIはERPを駆逐するのか? 第三者保守ベンダーが主張する「ERPパッケージという概念の終焉」
- 生成AIの次に来るのは「フィジカルAI」 NVIDIAが語る、普及に向けた「4つの壁」
- 三菱UFJ銀行もサイバーセキュリティの合弁会社を設立へ GMOイエラエらと
- フィッシングフレームワークで多要素認証を回避 DNS分析で分かった攻撃の詳細
- 10万超のWebサイトに影響 WordPress人気プラグインに深刻なRCE脆弱性
- 日本企業のフィジカルAI実装は進むか ソフトバンクと安川電機が協業
ITmediaはアイティメディア株式会社の登録商標です。