https://www.gmo-pg.com/
この度、不正アクセスによる情報流出により、
ご迷惑とご心配をお掛けしておりますこと、
心より深くお詫び申しあげます。
弊社では、この度の事態を重く受け止め、
本件を最優先に対応に当たっております。
詳細に関しましては、こちらをご覧ください。
2017.03.17 / 2017.03.14 / 2017.03.13 /
2017.03.12 / 2017.03.10
https://corp.gmo-pg.com/news_em/20170310.html?_ga=1.145474096.548534839.1490395191#em00
3.調査経緯と対策について
■3/9(木)
18:00
IPA独立行政法人情報処理推進機構様の「Apache Struts2 の脆弱性対策について(CVE-2017-5638)(S2-045)」(※1)ならびにJPCERT様の「Apache Struts 2 の脆弱性 (S2-045) に関する注意喚起」(※2)の情報に基づき、当社システムへの影響調査を開始。
(※1)https://www.ipa.go.jp/security/ciadr/vul/20170308-struts.html
(※2)https://www.jpcert.or.jp/at/2017/at170009.html
20:00
当社内で当該脆弱の対象となるシステムの洗い出しが完了。対策方法の検討開始。
21:56
WAF(※3)にて該当する不正パターンによるアクセスの遮断を実施。[対策1]
同時に不正アクセスの可能性の調査を開始。
(※3)WAF(Web Application Firewall)Webサイト、およびその上で動作するWebアプリケーションを狙った攻撃を防御するセキュリティ対策システム。
23:53
不正アクセスの痕跡を確認したため「Apache Struts 2」が稼働しているシステムを全停止。ネットワーク未接続状態にあったバックアップシステムに切替を実施。[対策2]
■3/10(金)
00:30
「Apache Struts 2」の脆弱性対策を[対策2]のバックアップシステムに実施。[対策3]
調査の結果、東京都様の都税クレジットカードお支払サイトと独立行政法人住宅金融支援機構様の団体信用生命保険特約料クレジットカード支払いサイトにおいて不正アクセスを確認。
02:15
東京都様の都税クレジットカードお支払サイトと独立行政法人住宅金融支援機構様の団体信用生命保険特約料クレジットカード支払いサイトにおいて不正にデータ取得された可能性が高いことを確認。
06:20
不正アクセスされた可能性のある情報の内容と件数を確認。
08:40~
東京都様の都税クレジットカードお支払いサイト運営会社ならびに独立行政法人住宅金融支援機構様へ報告。対策を協議。
4.本件に関する今後の対応について
クレジットカード情報が流出した対象のお客様につきましては、対象クレジットカード会社と協議の上、対応を進めてまいります。また、再発防止策を検討するに当たり、本日よりセキュリティ専門会社によるシステム調査を開始いたしました。なお、並行して警察への捜査協力を行ってまいります。
5.本件に関するお問い合わせ先
■東京都様の都税クレジットカードお支払サイトをご利用されたお客様
専用ダイヤル:0120-180-600(フリーダイヤル)
[受付時間:24時間]
■独立行政法人住宅金融支援機構様の団信特約料クレジットカード払いをご利用されたお客様
専用ダイヤル:0120-151-725(フリーダイヤル)
[受付時間:午前9時~午後9時]
お客様ならびに関係者の皆様には、ご心配およびご迷惑をおかけいたしますこと、心よりお詫び申し上げます。
以上
http://internet.watch.impress.co.jp/docs/news/1051268.html
「JINS」のオンラインショップに不正アクセス、「Apache Struts 2」の脆弱性を突かれる
森田 秀一2017年3月24日 19:37
不正アクセス被害についての告知ページ。電話・メールでの問い合わせ窓口を開設している
株式会社ジェイアイエヌは、同社が運営するメガネのオンラインストア「JINSオンラインショップ」に不正アクセスがあったことを発表した。ウェブアプリケーションフレームワーク「Apache Struts 2」の脆弱性を悪用されたものだという。
不正アクセスが確認されたのは3月22日。不正アクセスを行った第三者が一定期間、個人情報へアクセスできる状況にあったという。対象となる情報は、メールアドレス、氏名、住所、電話番号、生年月日、性別が74万9745件、メールアドレスのみが43万8610件。クレジットカード情報はサーバーに保管していないため、漏えいは確認されていないとしている。
Apache Struts 2の脆弱性をめぐっては、3月8日の時点で独立行政法人情報処理推進機構(IPA)が注意喚起を行っている。しかしながら、GMOペイメントゲートウェイ株式会社が運営受託している「東京都税クレジットカード支払いサイト」で3月10日に、日本郵便株式会社の「国際郵便マイページサービス」でも3月14日に、この脆弱性を突いた不正アクセスが発覚している。
ジェイアイエヌによれば、3月9日にはApache Struts 2の脆弱性に関する情報を認知し、3月22日に改修作業を行うことを決定。予定どおり作業が完了したが、その作業当日の過程において、すでに不正アクセスされていたことが分かったという。このため、現在運用中のオンラインショップ用サーバーではすでに対策が施されている。
JINSオンラインショップでは、2013年3月にも不正アクセス被害を受けており、この際にはクレジットカード情報が流出。不正決済の被害が発生した。
https://www.toyota-finance.co.jp/oshirase/detail.php?id=1378
2017.03.10
不正アクセスに関するご報告とお詫び
当社が東京都様より都税の収納代行業務の指定を受け、運営しております「都税クレジットカードお支払いサイト」におきまして、サイトの運営を委託しておりますGMOペイメントゲートウェイ株式会社(以下、GMO-PG社)のサイトに第三者による不正アクセスが確認され、情報が流出した可能性があることが判明いたしました。
このような事態を起こし、お客さまおよび関係者の皆様に多大なるご心配とご迷惑をお掛けいたしますこと、心より深くお詫び申し上げます。
1.情報流出の状況について
IPA独立行政法人情報処理推進機構様の3月9日付「Apache Struts2 の脆弱性対策について」ならびにJPCERT様の「Apache Struts 2 の脆弱性に関する注意喚起」の情報に基づき、同日GMO-PG社にてシステムへの脆弱性対策及び影響調査を行った結果、東京都様の都税クレジットカードお支払サイトに悪意あるプログラムが仕込まれ以下の情報が流出した可能性が判明いたしました。
対象:平成27年4月から平成29年3月までの同サイト利用者
・クレジットカード情報
カード番号、カード・ブランド、有効期限
*カード番号については暗号化処理された情報
67万6290件
・メールアドレス
上記のうち 61万4629件
尚、当社が収納代行業者と指定されております国税及び他の自治体のサイトのご利用中のサービスにつきましては、現時点では同様の問題が発生していないことを確認しております。
2.今後の本件における対応について
クレジットカード情報が流出した可能性のある対象のお客さまにつきましては、発行クレジットカード会社様及び東京都様と協議の上、対応を進めてまいります。
お客さまならびに東京都様等関係の皆さまには、ご心配およびご迷惑をおかけしましたことを、心よりお詫び申し上げます。
お客さまのお問い合わせ先
専用ダイヤル:0120−180−600(フリーダイヤル)
お知らせ一覧へ戻る
https://rms-digicert.ne.jp/digital-certificate-news/apache-struts-jakarta-multipart-parser_vulnerability
Apache Struts Jakarta Multipart Parserにリモートコード実行の脆弱性
2017年3月9日
ニュースソース:QUALYS Threat PROTECT
以下は 2017年3月8日に公開されたApache Struts Jakarta Multipart Parser Remote Code Execution Vulnerabilityを要約したものです。
2017年3月7日、Apache StrutsはCVE-2017-5638として追跡された、高リスクのリモートコマンド実行脆弱性にさらされたため、Apacheが緊急セキュリティ警告を発行しました。
StrutsはApache Foundation Jakartaプロジェクトチームのオープンソースプロジェクトで、MVCモードを使用し、Java開発者がJ2EEを使用してWebアプリケーションを開発するのを支援します。
現在、Strutsは、大規模なインターネット企業、政府、金融機関およびその他多くのサイトで広く利用されています。また、サイト内で使用するテンプレートの開発などにも利用されています。
Apache Strutsの関係者は、この脆弱性(S2-045)を確認し、高いリスクに分類しています。
影響を受けるバージョン:
Apache Struts 2.3.5 – 2.3.31
Apache Struts 2.5 – 2.5.10
脆弱性:
Content-Type ヘッダーの不適切な処理のため、Jakarta Multipartパーサーにリモートコード実行の脆弱性が存在します。
攻撃者はContent-Typeヘッダーに悪質なOGNLを使用してこの脆弱性を引き起こし、システムコマンドを実行できます。
注:原文では curlコマンドを使用して問題を再現した事例が紹介されています。
対策:
この脆弱性は、Apache Struts 2.3.32及びApache Struts 2.3.32 で修正済みです。
カテゴリー: セキュリティアップデート
http://jvndb.jvn.jp/ja/contents/2017/JVNDB-2017-001621.html
JVNDB-2017-001621
Apache Struts2 に任意のコードが実行可能な脆弱性
概要
Apache Struts2 には、任意のコードが実行可能な脆弱性が存在します。
Apache Struts2 には、Jakarta Multipart parser の処理に起因する、任意のコードが実行可能な脆弱性が存在します。
なお、本脆弱性の攻撃コードが公開されています。
CVSS による深刻度 (CVSS とは?)
基本値: 10.0 (危険) [NVD値]
攻撃元区分: ネットワーク
攻撃条件の複雑さ: 低
攻撃前の認証要否: 不要
機密性への影響(C): 全面的
完全性への影響(I): 全面的
可用性への影響(A): 全面的
[参考] CVSS v3 による深刻度
基本値: 9.8 (緊急) [NVD値]
攻撃元区分: ネットワーク
攻撃条件の複雑さ: 低
攻撃に必要な特権レベル: 不要
利用者の関与: 不要
影響の想定範囲: 変更なし
機密性への影響(C): 高
完全性への影響(I): 高
可用性への影響(A): 高
影響を受けるシステム
Apache Software Foundation
Apache Struts 2.3.5 から 2.3.31 まで
Apache Struts 2.5 から 2.5.10 まで
想定される影響
遠隔の第三者によって細工されたリクエストを処理することで、アプリケーションの権限で任意のコードを実行される可能性があります。
対策
[アップデートする]
本脆弱性が修正されたバージョン (Struts 2.3.32 および Struts 2.5.10.1) へアップデートする。
[ワークアラウンドを実施する]
次のワークアラウンドを実施し、本脆弱性の影響を軽減する。
* サーブレットフィルタや Web Application Firewall などを使用して、Content-Type ヘッダを検証し、"multipart/form-data" が文字列として含まれる不正なリクエストを遮断する
* File Upload Interceptor を無効化する (Struts 2.5.8 から Struts 2.5.10 に対してのみ有効)
File Upload Interceptor
https://struts.apache.org/docs/file-upload-interceptor.html
JPCERT/CCからの補足情報【2017年3月17日追記】
開発者は、multipart/form-data を扱うパーサを、デフォルトの JakartaMultipartRequest から別の実装に変更する方法を、対策として記載しています。
JPCERT/CC による検証では、本脆弱性の影響を受けるバージョンにおいて JakartaStreamMultiPartRequest に変更しても本脆弱性の影響を受けることを確認したため、対策方法から削除しています。
別の実装
https://cwiki.apache.org/confluence/display/WW/File+Upload#FileUpload-AlternateLibraries
ベンダ情報
Apache Software Foundation
Apache : WW-3025
Apache : Alternate Libraries
Apache Struts 2 Documentation : S2-045: Possible Remote Code Execution when performing file upload based on Jakarta Multipart parser.
ASF Git Repos : Uses default error key if specified key doesn't exist (3523064)
ASF Git Repos : Uses default error key if specified key doesn't exist (6b8272c)
シスコシステムズ
Cisco's Talos Intelligence Group Blog : Content-Type: Malicious - New Apache Struts2 0-day Under Attack
CWEによる脆弱性タイプ一覧 CWEとは?
不適切な入力確認(CWE-20) [NVD評価]
共通脆弱性識別子(CVE) CVEとは?
CVE-2017-5638
参考情報
JVN : JVNVU#93610402
National Vulnerability Database (NVD) : CVE-2017-5638
IPA 重要なセキュリティ情報 : Apache Struts2 の脆弱性対策について(CVE-2017-5638)(S2-045)
JPCERT 注意喚起 : JPCERT-AT-2017-0009
US-CERT Vulnerability Note : VU#834067
更新履歴
[2017年03月10日]
掲載
[2017年03月15日]
CVSS による深刻度:内容を更新
ベンダ情報:Apache Software Foundation (Uses default error key if specified key doesn't exist (3523064)) を追加
ベンダ情報:Apache Software Foundation (Uses default error key if specified key doesn't exist (6b8272c)) を追加
ベンダ情報:シスコシステムズ (Content-Type: Malicious - New Apache Struts2 0-day Under Attack) を追加
CWE による脆弱性タイプ一覧:CWE-ID を追加
参考情報:National Vulnerability Database (NVD) (CVE-2017-5638) を追加
参考情報:US-CERT Vulnerability Note (NVD) (VU#834067) を追加
[2017年03月21日]
対策:内容を更新
公表日 2017/03/09
登録日 2017/03/10
最終更新日 2017/03/21