志布志市ふるさと納税サイトで情報流出 - 脆弱性検査で改ざん気付けず

「CVE-2021-20717」の判明後、ゼロデイ攻撃も確認されているとして開発者やセキュリティ機関から広く注意喚起が行われており、同市においても「EC-CUBE」のアップデートを実施。ウェブサイトの脆弱性検査なども行っていた。しかしながら同パッチの適用で改ざん部分が修復されることはなく、外部からアクセス可能な範囲を対象とする手動の脆弱性検査だったため、改ざんを発見できなかった。

一方今回の被害とは関係なく、同サイトにおけるセキュリティ強化の一環として、同市では2021年12月に「ウェブアプリケーションファイアウォール（WAF）」を導入。「WAF」が悪意あるプログラムと外部の不正な通信を遮断したため、以降の被害拡大を抑制することにつながったという。

また同市では、同サイトにおけるセキュリティ強化の必要性を議論しており、2022年10月24日当時に被害に気付いていなかったが、メインテナンスを実施するとして同サイトのクレジットカード決済を停止していた。

今回の問題が発覚したことを受け、同市では4月7日以降、個人情報保護委員会に対して報告を行っているほか、2023年6月8日に警察へ被害を申告。調査の最終報告を踏まえ、対象となる寄付者に対しても個別に連絡を取り、身に覚えのない請求が行われていないか確認するよう呼びかけている。

なお、今回被害に遭った「志布志市ふるさと納税特設サイト」以外にも、同市では外部事業者が運営するふるさと納税のポータルサイトも活用しているが、異なるシステムであり、外部ポータルサイトの利用者に対する影響を否定した。また同市公式サイトを含め、ほかの同市関連サイトにおける不正アクセスの痕跡などは見つかっていない。

（Security NEXT - 2023/06/26 ） ツイート

PR

関連記事

米当局、脆弱性6件を悪用カタログに追加
利用者ページにサイバー攻撃、詳細を調査 - 消費者金融事業者
検針員宅に空き巣、金庫から検針機器が盗難 - 鹿児島市
医療機関関係者向けの感染症週報速報メールで誤送信 - 新潟県
Cisco製FWにバックドア「FIRESTARTER」 - 新手法で永続化、侵害確認を
「Cisco ASA/FTD」脆弱性がDoS攻撃の標的に - 修正を再度呼びかけ
「MS Edge」にセキュリティ更新 - 脆弱性2件を修正
「DeepL」のChrome向け拡張機能にXSS脆弱性
先週注目された記事（2026年4月19日〜2026年4月25日）
「M365 Copilot」にオープンリダイレクトの脆弱性 - すでに修正済み