志布志市ふるさと納税サイトで情報流出 - 脆弱性検査で改ざん気付けず

「CVE-2021-20717」の判明後、ゼロデイ攻撃も確認されているとして開発者やセキュリティ機関から広く注意喚起が行われており、同市においても「EC-CUBE」のアップデートを実施。ウェブサイトの脆弱性検査なども行っていた。しかしながら同パッチの適用で改ざん部分が修復されることはなく、外部からアクセス可能な範囲を対象とする手動の脆弱性検査だったため、改ざんを発見できなかった。

一方今回の被害とは関係なく、同サイトにおけるセキュリティ強化の一環として、同市では2021年12月に「ウェブアプリケーションファイアウォール（WAF）」を導入。「WAF」が悪意あるプログラムと外部の不正な通信を遮断したため、以降の被害拡大を抑制することにつながったという。

また同市では、同サイトにおけるセキュリティ強化の必要性を議論しており、2022年10月24日当時に被害に気付いていなかったが、メインテナンスを実施するとして同サイトのクレジットカード決済を停止していた。

今回の問題が発覚したことを受け、同市では4月7日以降、個人情報保護委員会に対して報告を行っているほか、2023年6月8日に警察へ被害を申告。調査の最終報告を踏まえ、対象となる寄付者に対しても個別に連絡を取り、身に覚えのない請求が行われていないか確認するよう呼びかけている。

なお、今回被害に遭った「志布志市ふるさと納税特設サイト」以外にも、同市では外部事業者が運営するふるさと納税のポータルサイトも活用しているが、異なるシステムであり、外部ポータルサイトの利用者に対する影響を否定した。また同市公式サイトを含め、ほかの同市関連サイトにおける不正アクセスの痕跡などは見つかっていない。

（Security NEXT - 2023/06/26 ） ツイート

PR

関連記事

システム障害が発生、原因や影響を調査 - 黒金化成
「JVN iPedia」の脆弱性登録、2四半期連続で1万件超
「Docker Compose」にパストラバーサル脆弱性 - 修正版を公開
「Firefox」にセキュリティアップデート- UAF脆弱性を修正
資産管理製品「IBM MAS」に深刻な脆弱性 - 修正を強く推奨
製造業向けシステム「DELMIA Apriso」の脆弱性攻撃に注意 - 直近3カ月で3件
オープンスクール申込者の個人情報が閲覧可能に - 群馬の中等教育学校
医療関係者向け講演会案内メールで誤送信、取消機能で再発 - EAファーマ
現金領収帳2冊が所在不明、1冊に個人情報 - 北九州市
韓国関連グループの標的型攻撃が継続 - GitHub悪用でマルウェア展開