JR東日本「えきねっと」のSSL設定に不備 - 一時平文で通信

新幹線や特急列車の予約、国内旅行の申し込みなど受け付けるJR東日本の「えきねっと」において、約37時間にわたり通信が暗号化されない状況だったことがわかった。

同サービスを運営するJR東日本によると、2月1日1時半前から翌2日14時半ごろにかけて、設定の不備により、一部利用者の通信がSSL暗号化されず、平文で通信されていたことが判明したという。

対象となるのは、同期間中にスマートフォンまたは携帯電話からチケット申込サービスや会員メニューなどを利用した顧客。パソコンから利用した場合は影響を受けないという。同社では設定を修正し、対象となる顧客に報告と謝罪のメールを送信している。

（Security NEXT - 2017/02/10 ） ツイート

PR

関連記事

「MLflow」にアクセスキーなど機密情報が流出する深刻な脆弱性
グループ会社2社でランサム被害 - 青山財産ネットワークス
ファイルサーバでランサム被害を確認 - 宝飾用ダイヤモンド関連会社
一部サーバでランサムウェア被害 - キャンディルグループ会社
ランサム被害が発生、一部サービスを停止 - システム開発会社
子会社の「LNG受発注システム」で侵害痕跡を確認 - 北海道ガス
損害調査法人がランサム被害 - ファイル転送ツールの痕跡も
委託先がランサム被害、サーバ内部に組合員の個人情報 - コープいしかわ
「Linuxカーネル」の暗号通信処理にLoP脆弱性「Dirty Frag」
Linuxカーネルに権限昇格の脆弱性「Copy Fail」 - PoC公開済み