コマンドインジェクション脆弱性を悪用した不正アクセス攻撃により約35万件の個人情報が流出の可能性(エイベックス) | ScanNetSecurity
2020.06.05(金)
コンテンツ
注目検索ワード
ホーム インシデント・事故 インシデント・情報漏えい 記事

コマンドインジェクション脆弱性を悪用した不正アクセス攻撃により約35万件の個人情報が流出の可能性(エイベックス)

 4月下旬から、大規模な個人情報流出が相次いでいる。4月21日に、日本テレビ放送網から、約43万件の個人情報が流出。さらに、J-WAVEからも、約64万件の個人情報が流出した。そして、エイベックスでも同様の被害が発生していることが発表された。

インシデント・事故 インシデント・情報漏えい
 4月下旬から、大規模な個人情報流出が相次いでいる。4月21日に、日本テレビ放送網から、約43万件の個人情報が流出。さらに、J-WAVEからも、約64万件の個人情報が流出した。そして、エイベックスでも同様の被害が発生していることが発表された。

 エイベックス・グループ・ホールディングスの発表によると、同社のアーティスト公式サイトに対する不正アクセス攻撃があり、キャンペーンの応募者データなどの個人情報(名前、住所、メールアドレス、電話番号、他)約35万件が流出した可能性があることが、判明したという。同社では土日祝日も、問い合わせに対応するとしている。

 いままでの手口同様に、アーティスト公式サイトで使用しているソフトウェアの「コマンドインジェクション脆弱性」を悪用したものだった。コマンドインジェクションとは、たとえば、サイトに設置されている登録フォームなどで、本来なら「住所」や「名前」を入力する欄に、「rm -rf~」(サーバーのファイル全削除)など、直接OSコマンドを入力してしまうという、原始的な攻撃方法だ。脆弱性が残っているソフトを使っている場合、これらのコマンドが外部から実行されてしまう可能性がある。

 今回あいついで発生している被害は、いずれもサイトで利用しているブログツールやフォームツールの実装に問題があり、そこを突かれたと考えられる。ただ、こうした脆弱性はどういったサイトでも残っている可能性があり、今回、外部犯罪者の間で、コマンドインジェクションをターゲットにした攻撃が“流行”しているため、被害が連続したと思われる。そのため、まだしばらく、こうした大規模被害が発生する可能性はある。利用者が多いサイトは、ソフトのバージョンアップ、見直しを進めるべきだろう。

日テレに続きエイベックスも個人情報流出、大規模被害が連続中

《赤坂薫@RBB TODAY》

PickUp

ソース・関連リンク

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

IP-in-IPプロトコルにDDoS攻撃や情報漏えいなどを受ける脆弱性(JVN) 画像

IP-in-IPプロトコルにDDoS攻撃や情報漏えいなどを受ける脆弱性(JVN)
「有効期限が近いためサービスを中断」メルカリ偽メール(フィッシング対策協議会) 画像

「有効期限が近いためサービスを中断」メルカリ偽メール(フィッシング対策協議会)
Appleの5製品6バージョンに脆弱性、セキュリティアップデートを公開(JVN) 画像

Appleの5製品6バージョンに脆弱性、セキュリティアップデートを公開(JVN)
エアギャップ攻撃ツール Ramsay が日本で発見された可能性/北朝鮮による防衛・航空宇宙分野の攻撃増加 ほか [Scan PREMIUM Monthly Executive Summary] 画像

エアギャップ攻撃ツール Ramsay が日本で発見された可能性/北朝鮮による防衛・航空宇宙分野の攻撃増加 ほか [Scan PREMIUM Monthly Executive Summary]
不正なログインによりパスワードを無効化したとするAmazon偽メール(フィッシング対策協議会) 画像

不正なログインによりパスワードを無効化したとするAmazon偽メール(フィッシング対策協議会)
複数のサイボウズ製品に脆弱性、アップデートを公開(JVN) 画像

複数のサイボウズ製品に脆弱性、アップデートを公開(JVN)

インシデント・事故 記事一覧へ

「フエルモール」不正アクセス続報、カード情報流出は94件に(ナカバヤシ) 画像

「フエルモール」不正アクセス続報、カード情報流出は94件に(ナカバヤシ)
同時に複数人が登録すると全員に同一IDを発行する「設計」、雇用助成金等オンライン受付システム絶賛改修中(厚生労働省) 画像

同時に複数人が登録すると全員に同一IDを発行する「設計」、雇用助成金等オンライン受付システム絶賛改修中(厚生労働省)
ドメイン登録サービスに不正アクセス、約200件の問い合わせメール閲覧の可能性(コインチェック) 画像

ドメイン登録サービスに不正アクセス、約200件の問い合わせメール閲覧の可能性(コインチェック)
アンケートサイト「なるほど MC.net」にパスワードリスト型攻撃、ポイント不正交換確認(クレオ) 画像

アンケートサイト「なるほど MC.net」にパスワードリスト型攻撃、ポイント不正交換確認(クレオ)
職員の個人情報流出、54歳主査懲戒免職(弘前市) 画像

職員の個人情報流出、54歳主査懲戒免職(弘前市)
1人4万円損害賠償支払い、愛知県の新型コロナ感染者 Web 掲載事故 ~ 過去判例を参考 画像

1人4万円損害賠償支払い、愛知県の新型コロナ感染者 Web 掲載事故 ~ 過去判例を参考

調査・レポート・白書 記事一覧へ

フィッシングサイトの届出は4倍以上に、HTTPS対応サイトも半数を超える(フィッシング対策協議会) 画像

フィッシングサイトの届出は4倍以上に、HTTPS対応サイトも半数を超える(フィッシング対策協議会)
日本はランサムウェア暗号化成功率世界最悪、復旧費用は世界2位の高額(ソフォス) 画像

日本はランサムウェア暗号化成功率世界最悪、復旧費用は世界2位の高額(ソフォス)
IoTと5Gのセキュリティ対策進捗状況(総務省) 画像

IoTと5Gのセキュリティ対策進捗状況(総務省)
コロナで需要急伸サービスが標的 -- DDoS攻撃レポート(カスペルスキー) 画像

コロナで需要急伸サービスが標的 -- DDoS攻撃レポート(カスペルスキー)
フィッシング詐欺成功率、アウェアネストレーニングでどこまで改善したか(KnowBe4 Japan) 画像

フィッシング詐欺成功率、アウェアネストレーニングでどこまで改善したか(KnowBe4 Japan)
筋の良いペネトレーションテストのシナリオとは -- 診断レポート春号公開(ラック) 画像

筋の良いペネトレーションテストのシナリオとは -- 診断レポート春号公開(ラック)

研修・セミナー・カンファレンス 記事一覧へ

打つ手はあるのか、BEC(ビジネスメール詐欺)とオレオレ詐欺の境界が崩壊 画像

打つ手はあるのか、BEC(ビジネスメール詐欺)とオレオレ詐欺の境界が崩壊
日本への攻撃状況と脅威インテリジェンスの有効性を解説するウェビナー(CrowdStrike) 画像

日本への攻撃状況と脅威インテリジェンスの有効性を解説するウェビナー(CrowdStrike)
中国から届いた誤字脱字メール ~ 医療ISACの現状と課題 画像

中国から届いた誤字脱字メール ~ 医療ISACの現状と課題
アフターコロナでセキュリティ業界はどう変わる、セミナー開催(SHIFT SECURITY) 画像

アフターコロナでセキュリティ業界はどう変わる、セミナー開催(SHIFT SECURITY)
ECサイトセキュリティと個人情報保護をテーマにセミナー開催(fjコンサルティング) 画像

ECサイトセキュリティと個人情報保護をテーマにセミナー開催(fjコンサルティング)
テレワークのセキュリティを主題に、上野宣氏招きウェビナー開催(GSX) 画像

テレワークのセキュリティを主題に、上野宣氏招きウェビナー開催(GSX)

製品・サービス・業界動向 記事一覧へ

運用から初動対応までワンストップで提供、サイバー保険も付帯(MBSD、三井住友海上) 画像

運用から初動対応までワンストップで提供、サイバー保険も付帯(MBSD、三井住友海上)
ペネトレーションテストサービス提供開始、社外取締役上野氏も担当(Flatt Security) 画像

ペネトレーションテストサービス提供開始、社外取締役上野氏も担当(Flatt Security)
政府機関向けにクラウドサービス事業者を評価する制度を開始(総務省ほか) 画像

政府機関向けにクラウドサービス事業者を評価する制度を開始(総務省ほか)
サイバーセキュリティ経営ガイドライン実践のためのプラクティス集を公開(IPA、経済産業省) 画像

サイバーセキュリティ経営ガイドライン実践のためのプラクティス集を公開(IPA、経済産業省)
従業員訓練を軸としたフィッシングメール対策ソリューション提供開始(ネットワンパートナーズ) 画像

従業員訓練を軸としたフィッシングメール対策ソリューション提供開始(ネットワンパートナーズ)
セキュリティ診断の「切り込み隊長」、イエラエセキュリティが拓くフォレンジックの先にある地平 画像

セキュリティ診断の「切り込み隊長」、イエラエセキュリティが拓くフォレンジックの先にある地平

おしらせ 記事一覧へ

上野宣 編集長就任10周年記念オンライン飲み会、Scan PREMIUM「宣ベロ」ライセンスキャンペーン実施(イード) 画像

上野宣 編集長就任10周年記念オンライン飲み会、Scan PREMIUM「宣ベロ」ライセンスキャンペーン実施(イード)
上野宣から編集長就任10周年の御礼 画像

上野宣から編集長就任10周年の御礼
ScanNetSecurity 創刊21周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊21周年御礼の辞(上野宣)
編集部海外取材土産プレゼント 2019 画像

編集部海外取材土産プレゼント 2019
[鋭意準備中] ScanNetSecurity に夏を告げる紳士を取材しました ~ Black Hat USA 2019 の見どころ 画像

[鋭意準備中] ScanNetSecurity に夏を告げる紳士を取材しました ~ Black Hat USA 2019 の見どころ
訂正謝罪記事:フェイクインタビュー記事配信について 画像

訂正謝罪記事:フェイクインタビュー記事配信について
Page Top
編集長就任10周年記念「宣ベロキャンペーン」中!
編集長就任10周年記念「宣ベロキャンペーン」中!

Scan PREMIUM が半額! こんな時期だからこそセキュリティの未来を考えるオンライン飲み会を開催
×