先日発生した都税サイトへの不正アクセスの原因はApache Struts2の脆弱性でした。
Apache Struts2の脆弱性関連で不正アクセスが発覚するサイトがいくつかでてくるだろうなぁとは思っていましたが、やっぱりでちゃいましたか・・・。
日本郵便にも不正アクセスのニュース
そのターゲットは、日本郵便の国際郵便マイページサービスというサイト。
日本郵便株式会社の発表を見ると、「不正アクセスされた可能性がある」「情報が流出した可能性がある」とのことなので、まだ情報が流出したとは限らないですよ!
漏れた可能性があるのは、2日間の送り状のデータとサイト登録のEメールアドレス。
つまり、住所と電話番号と氏名とEメールアドレスということでしょうか。送付元、送付先、両方ですね。
流出の可能性がある人は、2017年3月12 日(日)から3月13日(月) に「国際郵便マイページサービス」を利用した人。
さらに過去にこのサービスを利用してEメールアドレスを登録している人。
今後の対応としては、流出した可能性がある人に個別連絡するとのことなので、利用された人は連絡を待っていて大丈夫そうですね。
原因がApache Struts2の脆弱性なら防げたのではないか
で、ここでちょっと不思議に思ったのが、日付。
都税サイトに不正アクセスのニュースが流れたのは3月10日(金)の夜21時。
都税のサイトに不正アクセス 67万件余の個人情報流出か | NHKニュース
日本郵便が公開している資料を見ると、不正アクセスがある可能性がある期間が3月12日(日)から3月13日(月)までの間。3月13日22時49分に緊急停止。防止対策をして3月14日(火)8時8分に復旧。
ちょ・・・・。
土日はゆっくり休んでいたのかなーやっぱりー。
いや、わかります。わかりますとも!
もし金曜日のニュースを見て、うちも「Apache Struts2」を使っているからヤバイかもしれないと思って、土曜日に出勤して対策していれば防げたのではないかとちょっと思ったんですよ。
そうでなくても、13日月曜日に朝出勤して緊急メンテナンスでもしておけばもう少し数は減ったと思うのですが。
Eメールアドレスはまぁしようがないかぐらいですむけど、住所が漏れるのはあんまり気分がいいものじゃないですからね。
「人のふり見て我がふり直せ」「明日は我が身」という言葉が身にしみます。
あ、わたしも人のことは言えませんので震え上がっていますよ。
インターネットにつながっている誰でも、パソコンやスマホから友だちのアドレスや電話番号が漏れる可能性、あるんですからね!
