JINS通販サイトで個人情報が流出か - 「Apache Struts 2」脆弱性が再度原因に

メガネチェーン店「JINS」が運営する通信販売サイト「JINSオンラインショップ」が不正アクセスを受け、顧客の個人情報が外部へ流出した可能性があることがわかった。同サイトを運営するジェイアイエヌでは、詳細について調査を進めている。

不正アクセス発覚後、あらたなサーバへ移行された「JINSオンラインショップ」

同社よれば、3月22日に不正アクセスを把握。調査を行ったところ、氏名や住所、電話番号、生年月日、性別、メールアドレスなど、74万9745件の個人情報のほか、メールアドレス43万8610件が外部よりアクセスできる状態だったことが判明したという。

同サイトにおいて使用する「Apache Struts 2」に脆弱性が存在し、不正アクセスを受けたことに起因。

不正アクセス発覚後、同社では外部事業者へフォレンジック調査を依頼。あらたにサーバを構築して同ショップのプログラム移行した。今後の調査で情報流出が判明した場合は、個別に顧客へ通知するとしている。

同社オンラインショップでは、2013年にもサーバへバックドアが設置され、クレジットカード情報が外部へ転送、窃取される被害が発生しているが、その際も「Apache Struts 2」における既知の脆弱性が原因だった。

同社では再発防止策として、クレジットカードによる決裁を決済代行会社のページで情報を入力するよう変更したほか、不正アクセスの対策機器などを導入していた。

（Security NEXT - 2017/03/24 ） ツイート

PR

関連記事

国際金融取引システムの不正送金に北朝鮮「APT38」が関与 - 外交交渉の裏で止まぬ攻撃
対「Struts 2」の脆弱性攻撃が発生、目的はマイニング - さらなる悪用増加に要警戒
「Struts 2」脆弱性、公開2日後には攻撃発生 - 攻撃者は1週間前から別の攻撃も展開
脆弱な「Struts 2」サイトの探索行為 - ロシアの攻撃グループが関与か
国交省関連サイトへの不正アクセス - 流出被害は未確認
不正アクセス被害の住宅金融支援機構関連サイト、約3カ月ぶりに再開
国交省関連サイトから情報流出の可能性 - 「Struts 2」脆弱性突かれ不正プログラム設置
「B.LEAGUE」関連サイトへの不正アクセス、クレカ不正利用が2倍弱に
GMO-PGが情報流出で調査報告 - 「脱Struts宣言」するも再構築まで至らず
NICT研究所に不正アクセス、「Struts 2」脆弱性で - サーバにSDK利用者情報