志布志市ふるさと納税サイトで情報流出 - 脆弱性検査で改ざん気付けず

「CVE-2021-20717」の判明後、ゼロデイ攻撃も確認されているとして開発者やセキュリティ機関から広く注意喚起が行われており、同市においても「EC-CUBE」のアップデートを実施。ウェブサイトの脆弱性検査なども行っていた。しかしながら同パッチの適用で改ざん部分が修復されることはなく、外部からアクセス可能な範囲を対象とする手動の脆弱性検査だったため、改ざんを発見できなかった。

一方今回の被害とは関係なく、同サイトにおけるセキュリティ強化の一環として、同市では2021年12月に「ウェブアプリケーションファイアウォール（WAF）」を導入。「WAF」が悪意あるプログラムと外部の不正な通信を遮断したため、以降の被害拡大を抑制することにつながったという。

また同市では、同サイトにおけるセキュリティ強化の必要性を議論しており、2022年10月24日当時に被害に気付いていなかったが、メインテナンスを実施するとして同サイトのクレジットカード決済を停止していた。

今回の問題が発覚したことを受け、同市では4月7日以降、個人情報保護委員会に対して報告を行っているほか、2023年6月8日に警察へ被害を申告。調査の最終報告を踏まえ、対象となる寄付者に対しても個別に連絡を取り、身に覚えのない請求が行われていないか確認するよう呼びかけている。

なお、今回被害に遭った「志布志市ふるさと納税特設サイト」以外にも、同市では外部事業者が運営するふるさと納税のポータルサイトも活用しているが、異なるシステムであり、外部ポータルサイトの利用者に対する影響を否定した。また同市公式サイトを含め、ほかの同市関連サイトにおける不正アクセスの痕跡などは見つかっていない。

（Security NEXT - 2023/06/26 ） ツイート

PR

関連記事

6月はフィッシング報告が減少、証券関連影響 - URLは増加
すかいらーく「テクアウトサイト」 - クレカ情報流出の可能性
Pythonの「tarfile」モジュールにサービス拒否の脆弱性
Apple、「macOS Sequoia 15.6」など公開 - 脆弱性87件を修正
「iOS/iPadOS 18.6」で複数脆弱性を修正 - KEV掲載済みの脆弱性も
「oauth2-proxy」に認証バイパスの脆弱性 - アップデートで修正
こども園で園児情報含む教員用資料をアプリで誤配信 - 目黒区
フォームの設定不備、WS申込者情報が閲覧可能に - 東大付属中
大阪府サイトで公開したIR資料に個人情報を誤掲載 - 大阪市
ウェブサーバにバックドア、DBの個人情報が窃取被害 - 楽待