米信用情報機関大手のEquifaxは9月14日、顧客約1億4300万人の個人情報が流出した事件について、米国のWebサイトのアプリケーションに存在していたApache Strutsの脆弱(ぜいじゃく)性(CVE-2017-5638)を悪用されていたことが分かったと発表した。
CVE-2017-5638の脆弱性は3月に発覚し、修正パッチが3月6日付で公開されていた。この時点で既に攻撃が横行していると伝えられ、セキュリティ機関などは直ちにApache Strutsを更新して脆弱性に対処するよう強く勧告していた。
Equifaxの先の説明によれば、同社が今回の不正アクセスに気づいたのは7月29日。不正アクセスは5月中旬から始まっていたという。この時点でまだ、Apache Strutsの脆弱性を修正するパッチを適用していなかったと思われる。
今回の事件に関連して米連邦取引委員会は9月14日、Equifaxをかたって電話などで個人情報を聞き出そうとする詐欺の手口に注意を呼び掛けている。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR