被害事例

日本テレビが不正アクセスの被害に!原因は『OSコマンドインジェクション』

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る
security_511

日本テレビ放送は4月21日、ホームページ(http://www.ntv.co.jp/)に不正アクセスがあり、保有する個人情報の約43万件が流出した恐れがあると発表しました。

視聴者が番組関連のプレゼントやテーマ募集などに応募した際の個人情報(氏名、住所、電話番号、メールアドレスなど)が流出したおそれがあるということです。

日本テレビは、

「大変なご迷惑とご心配をお掛けしますことを深くおわびします。外部の専門家による調査委員会を設置して調査し、対策を強化していきたい」

とコメントしている。

被害にあった原因は何だったのでしょうか。原因について調べてみました。

不正アクセス被害の原因はOSコマンドインジェクション

日本テレビに不正アクセスがあったのは4月20日13時ごろ。

ログを解析した結果、原因はOSに対する命令文を紛れ込ませて不正操作する「OSコマンドインジェクション」だと判明した。

OSコマンドインジェクションとは、閲覧者からのデータの入力や操作を受け付けるようなWebサイトで、プログラムに与えるパラメータにOSに対する命令文を紛れ込ませて不正に操作する攻撃。また、そのような攻撃を許してしまうプログラムの脆弱性のことです。

外部の原因は、OSコマンドインジェクションであったが、その攻撃を通してしまう内部システムにも原因があったようだ。

社内のシステムが異常を検知したことから調査を行ったところ、ソフトウェアに欠陥があったとのこと。

多くの個人情報を扱う大企業には、大切なお客様の情報を守るためセキュリティ対策の意識レベルを上げてほしいと思います。

日本テレビは21日の未明までに保存していた情報を別の場所(サーバ)に移動させるなどの対策をとったということで、今後は外部の専門家による調査委員会を設置し、さらなる原因の究明を行うとしています。

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る