福岡放送のホームページがサイバー攻撃を受けて個人情報が漏えいした可能性があると朝日新聞の2/13記事で報じられていました。
www.asahi.com
インシデントタイムライン
日時 |
出来事 |
2018年2月2日 |
サイバー攻撃を受ける |
2018年2月5日 夕 |
外部からサイバー攻撃を受けた事を確認 |
2018年2月9日 夕~ |
ホームページを休止してプログラムを改修 |
2018年2月13日 午後 |
一部機能を制限して復旧 |
2018年2月13日 22時 |
朝日新聞が報道 |
■公式発表
無し
事件の状況
◆キタきつねの所感
非常に疑問なのが、記事を書いている14日時点で公式な発表がないことです。Googleにはホームページメンテナンスという記載が残っていますが、おそらく元々対外発表しない方針だったのではないかと推測します。メールアドレスしか漏れてない訳ですから、(個人情報漏えいには当たらないと判断し)公表しなくても良いとするのは1つの考え方だとは思いますが、もし事件を隠蔽する意図があったのだとすれば、メディアがそれで良いのか?と疑問に思います。
番組やイベントのプレゼント抽選に応募した153人のメールアドレスを盗み見られた可能性がある
番組やイベントのプレゼント抽選に応募した153人のメールアドレスを盗み見られた可能性がある
番組やイベントのプレゼント抽選に応募した153人のメールアドレスを盗み見られた可能性がある
番組やイベントのプレゼント抽選に応募した153人のメールアドレスを盗み見られた可能性がなの
最初に記事をスクープした朝日新聞の取材は2月13日22時、毎日新聞が2月14日10時、産経Westが2月14日11時にWebサイトで記事を掲載していますが、3社の報道を俯瞰すると、2月2日と2月5日の両日に不正アクセスを受けていた事が推測されます。
同社は「攻撃は昨年6月以降、断続的にあったが、具体的に被害が確認されたのは初めて」としており (産経West記事より引用)
今回どういった手口だったのか(何の脆弱性を狙われたのか)、福岡放送は開示しない方針のようですが、
同社コンテンツ事業部の担当者は「セキュリティー上の問題があり詳細は回答できない」と説明した。(朝日新聞記事より引用)
産経Westだけが、推測できる一文を書いていました。
HPのプログラムを改修し、視聴者の投稿フォームなどを制限するなどの対策を講じた。(産経West記事より引用)
これを読んで頭をよぎったのが2016年の日本テレビやJ-Waveが不正アクセス(OSコマンドインジェクション攻撃)を受けて個人情報を漏えいした件であったり、去年10月のMXテレビの不正アクセスが同様なケースなのかと思いますが、OSコマンドインジェクションや、SQLインジェクション等々のインジェクション攻撃が原因ではないかなと思います。
これが正しければ、継続的に攻撃を受けていた福岡放送は(上記の様なメディアが攻撃を受けていた件は当然知っていると思うので)もしかするとセキュリティ対策が甘かったのかも知れません。Web脆弱性診断などを定期的に行っていれば、今回の事件は防げたのではないかと愚考します。
他のメディアへの参考になる部分もありますし、一般企業で不正アクセス事件が発生した場合には容赦なく情報公開を要求する立場なのですから、公式発表をきちんと出してくれると良いのですが・・・事件経緯を俯瞰すると、他メディアの追加取材が無ければ、発表は無い気がします。
参考:
d.hatena.ne.jp
■日本テレビ
個人情報不正アクセスに関する調査報告書
■MXテレビ
弊社ホームページに対する不正アクセスによる個人情報流出の可能性について
更新履歴