一部サービスでパスワードの正誤関係なく認証可能に - NTTPC

また「プライベートブランドダイヤルアップIP接続サービス」では、5月3日16時から5月29日13時にかけてログイン機能に不具合が生じた。5400件のIDのうち、10件のIDにおいて「参照・変更ページ」に登録されている契約者氏名、住所、連絡先などが流出した可能性がある。

今回の不具合は認証機能を処理するプログラムに起因したもので、同社では5月29日13時に対象サイトを閉鎖した。閲覧可能となったページでは、契約情報の変更や、サーバの解約、移行、オプションサービスの手続きなども可能だったが、勝手に契約内容を変更されるといった二次被害は確認されていない。

同社では、問題のシステムについて修正し、正常な動作が確認できたとしてすでに同ページを再開。情報が流出した可能性がある顧客に対して、個別に連絡を取っている。

また今回の不具合は「契約内容の変更サービス」に限られ、サーバそのもののコントロールパネルに関しては、別のシステムとなっており、今回の不具合による影響を否定している。

（Security NEXT - 2018/06/05 ） ツイート

PR

関連記事

IIJ、メールサービス侵害の調査結果を公表 - 全契約の約9％に影響
既知脆弱性による「FortiOS」侵害の新手法 - 初期経路封じても被害継続
IIJメールサービス設備内に不正プログラム - 最大6493契約で情報漏洩のおそれ
中国系グループ、「Junos OS」を侵害か - 監視手薄な部分を標的
九女大と九女短大のシステムに不正アクセス - 個人情報が流出か
VPN経由でランサム被害 - 産業機械開発設計会社
委託先がマルウェア感染、コード管理サービスから情報流出 - アイリッジ
フィッシング被害者のアカウントがさらなる攻撃の踏み台に - 東京外大
「サポート詐欺」で1000万円超の被害 - ネットバンクへ誘導
VPN経由でランサム被害、闇サイト上に取引情報 - 日本海建設電気