個人情報大量流出のEquifax、今度は公式サイトに不正なリンク掲載
Equifaxの公式サイトのリンクをクリックすると、Flash Playerのインストール画面に見せかけた不正なページにリダイレクトされ、アドウェアをインストールさせる仕掛けになっていた。
顧客約1億4550万人の個人情報が流出する事件が起きた米信用情報機関大手のEquifaxで、今度は偽のFlash PlayerダウンロードページへのリンクがWebサイトに掲載されていた問題が発覚した。
この問題は、セキュリティ研究者のランディ・エイブラムズ氏が10月11日に自身のブログで報告した。それによると、同氏がEquifaxの公式サイトで自分のクレジットリポートを確認しようとして、サイト上のリンクをクリックしたところ、不正なページにリダイレクトされ、Flash Playerのインストール画面に見せかけたページが表示されたという。
Equifaxはメディア各社に寄せた声明で、「equifax.com」のWebサイトに掲載されたクレジットリポートアシスタントのリンクに問題があったことを確認し、このページを一時的にダウンさせたことを明らかにした。
米メディアArs Technicaによると、問題のページでは「MediaDownloaderIron.exe」というアドウェアをインストールさせる仕掛けになっていた。Equifaxのサイトに不正なリンクが掲載された理由は不明だが、Equifaxが使っていたサードパーティーの広告ネットワークや分析ツールが原因だった可能性が指摘されている。
Equifaxは、Apache Strutsの脆弱性が放置されていたことが原因で、大量の個人情報が流出していたことが9月に発覚。その後もTwitterで偽サイトへのリンクをツイートするなどのトラブルが相次いだ。
関連記事
- Equifaxの情報流出は「人為ミスと技術的失敗」、前CEOが証言
Equifaxのセキュリティ部門が行ったスキャンではApache Strutsの脆弱性を発見できず、同社のセキュリティツールも不正アクセスを検出できなかった。 - 米個人情報機関最大手Equifax、1億4300万人の社会保障番号など漏えい
米個人情報機関Equifaxが、7月にサービスへの不正アクセスがあり、約1億4300万人の米国顧客の社会保障番号などの個人情報が流出したと発表した。一部顧客についてはクレジットカード番号も盗まれた可能性があるとしている。 - 米信用情報機関の個人情報大量流出、Strutsの脆弱性放置が原因
今回悪用されたApache Strutsの脆弱性は、3月に修正パッチが公開されていた。Equifaxがこの脆弱性を突く不正アクセスの被害に遭ったのは5月中旬だった。 - Apache Struts 2に深刻な脆弱性、既に攻撃が横行 直ちに更新を
この脆弱性は簡単に悪用でき、既に攻撃が横行しているとの情報もあることから、Apache Struts 2を直ちにバージョン2.3.32または2.5.10.1に更新して、脆弱性に対処するよう呼び掛けている。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.