情報通信研究機構(NICT)Apache Struts2の脆弱性を悪用した不正アクセスにて情報漏洩の恐れ

国立研究開発法人情報通信研究機構によると、5月2日、Apache Struts2の脆弱性を衝かれ、情報漏洩した恐れがあるとして発表しました。

同機構の関連するNICTユニバーサルコミュニケーション研究所では、Apache Struts2の脆弱性の公表を踏まえて、3月13日(月)以降、NICTが作成した音声対話研究用のソフトウェア開発キット(MCML音声インタラクションSDK)を外部の研究者等に提供する公開サーバの運用を停止したということです。

その後、調査を進めたところ、当該サーバは外部から非常に早い段階に不正にアクセスを受けており、サーバの中に、利用者のID、メールアドレス、暗号化されたパスワードの情報が含まれていることが、5月1日(月)付けで判明したのことです。

当該サーバでは利用者パスワードを暗号化するなどの措置を講じており、開発キットの全利用者(378件)に対してパスワードの変更等を個別に周知。なお、現段階では本件によるものと考えられる悪用の事象の報告は受けておりませんとしています。

同機構は同サービスご利用の皆様へご心配とご迷惑をおかけいたしておりますことを深くお詫び申し上げ、引き続き状況の調査を進める、再発の防止に取り組むとしています。


本件に関する問い合わせ先

MCML 音声インタラクション SDK サポートグループ
河井 恒
E-mail: mcml-support-sdk@ml.nict.go.jp

この脆弱性の問題は、当サイトでも度々、セキュリティニュースで取り上げている3月9日に公開された脆弱性によるもので情報処理推進機構(IPA)は 「Apache Struts2 の脆弱性対策情報一覧」にて公開しています。

最初は東京都の都税をクレジットカード払いできるサービスを請け負っていたGMO-PGの情報漏洩から大きく取り上げられこれまでにも12件の同原因による漏洩事件がわかっています。

しかし今回の同機構においては3月13日の時点で怪しいと気づいたにも関わらず、調査、発表までに相当時間がかかっている印象です。情報漏洩はサイバーセキュリティインシデントの中でも信用にかかわる非常に重いインシデントです。寛容なのは以下に早く対処し、まだ調査中でも構わないので第一報をすることではないでしょうか。そしてこうした大きな影響力のある脆弱性が見つかった場合、次々と狙われる傾向にあるので、注意が必要です。

なお、もし、攻撃を受けてしまった恐れがある場合は弊社の「サイバーセキュリティ110番」にてご相談を無料で受け付けております。お気軽にご連絡ください。

「サイバーセキュリティ110番」はこちら

詳細;情報通信研究機構

 

<