日本テレビ放送網株式会社 同社のプレゼント応募フォームに応募した個人情報漏えい

日本テレビは同社の公式サイトにて運営する応募フォームに応募してきた視聴者の個人情報約43万件分が外部に漏えいしたと報告しました。調査の結果、漏えいしたのは氏名・住所・電話番号・メールアドレスとのことです。現在該当者に、メールまたは郵便にて連絡を行っているということです。
攻撃者が行った手口はいわゆる「OSコマンドインジェクション」というものでした。
----------------------
【OSコマンドインジェクションとは】
閲覧者からのデータの入力や操作を行うWEBサイトで、プログラムに与えるパラメータにOSに対する命令文(コマンド)を紛れ込ませて不正に操作する攻撃のこと。この攻撃により以下の被害が発生する恐れがあります。
・不正なシステム操作
・情報漏えい、ファイルの改ざん・削除・ランサムウェアへの感染
・ウィルスなどのマルウェア感染
・踏み台にされ他サイトへ攻撃
脆弱性の原因は、シェル機能の悪用によりユーザの操作を受け付けて、与えられた指示をOSの中核部分に伝えることにより本来、求めていた以外の操作を可能とさせてしまうことにあります。

【シェル機能とは】
シェルとは、ユーザの操作を受け付けて、与えられた指示をOSの中核部分に伝えるソフトウェア。Windowsではコマンドプロンプト、UNIX系ではbashやcshがシェルにあたります。
----------------------
この「OSコマンドインジェクション」を実行されたことにより、OSに対する命令文を紛れ込ませて不正操作する手法をとられ今回、日テレの公式ホームページで運営していたプレゼントへの応募フォームから、本来なら「住所」や「名前」を入力する欄に、「rm -rf~」など直接OSコマンドを紛れ込ませていました。日テレの話では「24時間テレビ 愛は地球を救う」(チャリティーグッズ販売お問い合わせフォーム)、「おしゃれイズム」(プレゼント応募フォーム)、「踊る!さんま御殿!!」(テーマ応募フォーム)など、15番組にも上るということです。
日テレは攻撃に使用された同ソフトウェアを削除し、該当データをほかに移動するなどの対策を実施したとのことです。

今回は極めて原始的な攻撃手法を許してしまったことがそもそもの原因にあたります。このような攻撃は日頃から基本的なサイバーセキュリティの対策を行っていれば防げる案件です。サイバー攻撃はどんなに対策を行っていても100パーセント防げるものではありません。新種のウィルスはウィルス対策ソフトを最新版にアップデートしていても検出されない場合はあります。しかしながら十分、防げるものを許してしまうとなると企業としての情報セキュリティに対する姿勢を疑われ、ひいては、ユーザー個人の信用を失墜させかねません。まずはサイバーセキュリティぼソリューションの導入し、定期的に、保守、運用を行い、それでも起こってしまった場合は早めに公表し、今後の対策を実施することが大切です。

詳細;日本テレビ 調査委員会による調査結果のお知らせ
<