志布志市ふるさと納税サイトで情報流出 - 脆弱性検査で改ざん気付けず

「CVE-2021-20717」の判明後、ゼロデイ攻撃も確認されているとして開発者やセキュリティ機関から広く注意喚起が行われており、同市においても「EC-CUBE」のアップデートを実施。ウェブサイトの脆弱性検査なども行っていた。しかしながら同パッチの適用で改ざん部分が修復されることはなく、外部からアクセス可能な範囲を対象とする手動の脆弱性検査だったため、改ざんを発見できなかった。

一方今回の被害とは関係なく、同サイトにおけるセキュリティ強化の一環として、同市では2021年12月に「ウェブアプリケーションファイアウォール（WAF）」を導入。「WAF」が悪意あるプログラムと外部の不正な通信を遮断したため、以降の被害拡大を抑制することにつながったという。

また同市では、同サイトにおけるセキュリティ強化の必要性を議論しており、2022年10月24日当時に被害に気付いていなかったが、メインテナンスを実施するとして同サイトのクレジットカード決済を停止していた。

今回の問題が発覚したことを受け、同市では4月7日以降、個人情報保護委員会に対して報告を行っているほか、2023年6月8日に警察へ被害を申告。調査の最終報告を踏まえ、対象となる寄付者に対しても個別に連絡を取り、身に覚えのない請求が行われていないか確認するよう呼びかけている。

なお、今回被害に遭った「志布志市ふるさと納税特設サイト」以外にも、同市では外部事業者が運営するふるさと納税のポータルサイトも活用しているが、異なるシステムであり、外部ポータルサイトの利用者に対する影響を否定した。また同市公式サイトを含め、ほかの同市関連サイトにおける不正アクセスの痕跡などは見つかっていない。

（Security NEXT - 2023/06/26 ） ツイート

PR

関連記事

セキュリティアップデート「Firefox 147.0.2」が公開
複数Fortinet製品に脆弱性、すでに悪用も - 更新や侵害有無の確認を
「Chrome」にアップデート - 実装不備の脆弱性1件を修正
結核健診の受診票が所在不明、庁内授受中に紛失 - 大阪市
サポート詐欺被害、個人情報含む業務用端末が遠隔操作 - 宮崎日大学園
「偽警告」相談が2割増 - 「フィッシング」関連は1.5倍に
住民向け土石流異常通知メール、試験配信でメアド流出 - 静岡県
ゼロデイ攻撃の調査結果、一部流出もPW含まず - TOKAIコミュニケーションズ
カーテン通販サイトで決済アプリ改ざん - 個人情報流出の可能性
Atlassian、前月のアップデートで脆弱性のべ34件に対処