3月13日、日本郵便は同社が運営する「国際郵便マイページサービス」へ第3者による不正アクセスが発生し、約2万9千件のメールアドレスと送り状約1100件の情報が流出したとの発表を行いました。
同社が運営する「国際郵便マイページサービス」とは、EMSや国際小包、国際書留を発送する際の送り状やインボイスの作製サービスを提供しているサイトです。
不正アクセスにより流出した情報は、3月12日から3月13日の間に「国際マイページサービス」上で作成された送り状約1100件とメールアドレス(顧客情報)約2万9千件との事です。
今回の不正アクセスはアプリケーションフレームワーク「Apache Struts2」の脆弱性(CVE-2017-5638)を利用されたことが原因とされています。
同サイトの閲覧によるマルウェア感染はないとの事です。
Apache Struts2とは
「Apache Struts2」とはアメリカにあるオープンソースソフトウェアの開発を支援するApache Struts財団が開発したウェブアプリケーションのフレームワークのことです。
Apache Struts財団によりオープンソースソフトウェアとして無償で提供されているものです。
さいごに
同社の発表によると被害にあったページは、3月13日にサービスを緊急停止し、対策を講じた上で3月14日に復旧を行ったとのこと。
今後の対応策について、情報流出した可能性のあるユーザに対して個別に連絡を行い、システムの監視を強化する事で再発防止を強化するようです。
また、IPA(情報処理推進機構)やJPCERT/CCなどは「Apache Struts2」の脆弱性を悪用した攻撃の危険性を指摘しており、Web上で注意喚起を行っています。
開発元のApache Software財団により、脆弱性を修正した最新バージョンが公開されているため、最新バージョンに更新する事で、脆弱性を解消しておきましょう。
