無線LANのただ乗りに「無罪判決」の驚き：セキュリティクラスタ まとめのまとめ 2017年4月版（1/3 ページ）

　4月のセキュリティクラスタは、3月に公開された「Apache Struts 2」の脆弱（ぜいじゃく）性の残り火に注目が集まりました。4月になって攻撃を受けたサイトや3月に受けた攻撃について公開するサイト、攻撃から復旧して再公開するサイトなどがあり、タイムライン（TL）を賑わせることとなりました。

　ユーザー名とパスワードをスクリーンショットとして保存していた人物が話題となっていた他、乗っ取られて不適切な画像をアップロードされた芸能人、芸能人のアカウントのパスワードを推測し、のぞき見で逮捕された件も話題となっていました。

　誰もが犯罪だと思っていた無線LANのただ乗りに対して「無罪」の判決があり、驚いているツイートが多数TLに流れていました。

Struts 2の脆弱性を放置し4月になって攻撃に気付いた「総務省」、セキュリティコードを盗まれて不正利用されていた「ぴあ」

　3月に猛威を奮ったStruts 2の脆弱性（S2-045とS2-046）。4月になると世間ではようやく対応が一段落、落ち着きを取り戻したようです。ところが、対策されておらず攻撃されてしまったサイトや、攻撃されてしまっていたことが4月になって判明したサイト、修正が完了して報告が上がっているサイトなど、まだまだ話題が尽きませんでした。

　4月13日には総務省の運営している地図情報サイト「地図による小地域分析」（jSTAT MAP）から最大2万3000件の個人情報の流出可能性があるということが発表されました。Struts 2の脆弱性を突かれた不正アクセスを受けたものです。

　クレジットカード番号などお金に関わるデータはなかったものの、脆弱性を突かれたことに気付いた日付に問題がありました。4月11日に判明したということは、脆弱性が判明してから1カ月間、修正を施していなかったことになるからです。

　たまたま攻撃者に見つけられなかったのか、すぐに侵入されていたものの気付くのに1カ月かかったのか、発表からは分かりません。いずれにせよ、脆弱性があるシステムを運用していたのにもかかわらず、ほったらかしのずさんな運用にあきれたツイートが目立ちました。

　4月25日には「ぴあ」が運営している「B.LEAGUEチケットサイト」と「ファンクラブ受付サイト」でStruts 2の脆弱性を突かれ、個人情報が流出したという発表がありました。こちらはクレジットカード番号とカードのセキュリティコードが流出し、実際に不正利用されていたということです。

　発表は4月末。しかし実際に攻撃を受けたのはもっと早かったのです。3月17日からツイートが始まり、不正利用されているという多数の書き込みがあったこと、3月25日にはサイトを停止して調査を行っていたということです。先月のGMOペイメントゲートウェイと同様、PCI DSS（Payment Card Industry Data Security Standard）に違反して、セキュリティコードをサーバに保管していたことが問題視されていました。

　最初に攻撃の被害が明らかになったGMOペイメントゲートウェイは、4月17日に個人情報保護法に基づく報告を経済産業省に行いました。しかし、なぜクレジットカードのセキュリティコードが保管されていたのかは明らかにされなかったようです。