福岡市の企業支援サイトに脆弱性 - 非公開ファイルに不正アクセス

福岡市が運営する企業支援サイト「Azia-biz-Fukuoka」に脆弱性が存在し、非公開のファイルに対してアクセスが行われていたことがわかった。サイトの改ざんや個人情報の漏洩などは確認されていないという。

同サイトは、同市へ進出を検討する海外企業へ情報を発信したり、海外でのビジネスに興味を持つ同市の企業を支援するポータルサイト。同サイトの一部に「ディレクトリトラバーサル」の脆弱性が存在し、本来アクセスできない非公開のファイルに対し、外部からアクセスできる状態だった。

7月27日に情報処理推進機構（IPA）から指摘があり脆弱性へ気が付いたもので、同市では同日中に脆弱性を修正した。同サイトは、2014年3月にリニューアルを実施しており、その際の委託業者によるプログラムミスで脆弱性が生じたとしている。

また同市では脆弱性の判明を受け、リニューアルを実施した2014年3月以降のログについて翌28日より調査を実施。その結果、2015年2月から3月にかけて、同サイトと同一サーバ内にある23サイト、359ファイルに対し、外部IPアドレスからアクセスが行われていたことが判明した。

外部よりアクセスが確認されたファイルは、個人情報は含まれていないウェブサイトのプログラムだった。ファイルの改ざんや削除も確認されていないという。委託業者におけるセキュリティチェック方法の見直しを行い、脆弱性対策を徹底するとしている。

（Security NEXT - 2016/08/18 ）ツイート