概要
2016年4月21日、J-WAVEのwebサーバーに対して、コマンドインジェクションの脆弱性を突く攻撃による不正なアクセスがありました。調査の結果、会社が保有するリスナーの個人情報約64万件が流出した可能性があるとのことです。
流出した可能性があるのは、2007年以降にJ-WAVEのホームページのメッセージフォームから、番組へメッセージを送信、またはプレゼントに応募した方の名前・住所・電話番号・メールアドレスなどです。
タイムライン
2016年4月21日(木)午前0時~午前3時
何者かがJ-WAVEのwebサーバーに不正アクセス。
2016年4月21日(木)夕刻
同局内の調査にて、OSコマンドインジェクションによる被害が判明。
2016年4月22日(金)
不正アクセスを許したソフトウェアの開発元によるパッチファイル公開がなされ、同局は即座に適応し、web上でリスナーに対して本件に関するお知らせとお詫び文を掲載。
2016年4月23日(土)
掲載済みのお知らせを更新。
原因
弊社の見解
OSコマンドの呼び出しを使わない実装方法を用いているなど、外部からの不正アクセス対策を行っているサーバーを選定しなかった、委託先を選定する際の情報セキュリティ水準の低さが原因と思われます。
被害
同局リスナーの個人情報約64万件が流出の可能性。現時点では、流出した可能性のある情報に関する二次被害の報告はありません。
対応
J-WAVEは現在、流出した可能性のある情報の詳細について解析を進めるとともに、すでに警察及び監督官庁への相談・届出の手続きを開始したようです。さらに、今回不正アクセスを許したソフトウェアの脆弱性に対するパッチファイルが公開されると同時に、適応し対応した模様です。
各リスナーに対しては、順に登録メールアドレス宛にお詫び文を送信する予定で、web上での個人情報流出に伴う詐欺事件防止の声掛けもおこなっています。
今後の対策として、情報セキュリティの更なる強化の徹底に努めると公言しています。
関連情報
NHK「不正アクセス J-WAVEから個人情報64万件流出か」(2016/04/22)(魚拓)
ITpro「J-WAVEでも64万件の個人情報流出の可能性、原因ソフトの利用者は至急パッチ適用を」(2016/04/23)(魚拓)
J-WAVE 81-3FM「J-WAVE WEBサイトへの不正アクセスによる個人情報流出の可能性に関するお知らせ」(2016/04/28)(魚拓)
