志布志市ふるさと納税サイトで情報流出 - 脆弱性検査で改ざん気付けず

「CVE-2021-20717」の判明後、ゼロデイ攻撃も確認されているとして開発者やセキュリティ機関から広く注意喚起が行われており、同市においても「EC-CUBE」のアップデートを実施。ウェブサイトの脆弱性検査なども行っていた。しかしながら同パッチの適用で改ざん部分が修復されることはなく、外部からアクセス可能な範囲を対象とする手動の脆弱性検査だったため、改ざんを発見できなかった。

一方今回の被害とは関係なく、同サイトにおけるセキュリティ強化の一環として、同市では2021年12月に「ウェブアプリケーションファイアウォール（WAF）」を導入。「WAF」が悪意あるプログラムと外部の不正な通信を遮断したため、以降の被害拡大を抑制することにつながったという。

また同市では、同サイトにおけるセキュリティ強化の必要性を議論しており、2022年10月24日当時に被害に気付いていなかったが、メインテナンスを実施するとして同サイトのクレジットカード決済を停止していた。

今回の問題が発覚したことを受け、同市では4月7日以降、個人情報保護委員会に対して報告を行っているほか、2023年6月8日に警察へ被害を申告。調査の最終報告を踏まえ、対象となる寄付者に対しても個別に連絡を取り、身に覚えのない請求が行われていないか確認するよう呼びかけている。

なお、今回被害に遭った「志布志市ふるさと納税特設サイト」以外にも、同市では外部事業者が運営するふるさと納税のポータルサイトも活用しているが、異なるシステムであり、外部ポータルサイトの利用者に対する影響を否定した。また同市公式サイトを含め、ほかの同市関連サイトにおける不正アクセスの痕跡などは見つかっていない。

（Security NEXT - 2023/06/26 ）ツイート

志布志市ふるさと納税サイトで情報流出 - 脆弱性検査で改ざん気付けず

関連リンク

PR

関連記事