- 2016年4月22日
- 事故レポ
日本テレビのHPに不正アクセス。約43万件の個人情報流出か。
日本テレビは、4月21日同社公式サイト(http://www.ntv.co.jp/)に対して不正アクセスがあり個人情報が流出したと発表しました。
同社によると、20日13時ごろに不正アクセスを受け、調査したところ氏名・住所・電話番号・メールアドレス等の情報漏洩が 発生した可能性が発覚したようです。
そしてその数、なんと約43万件にのぼるとのことです。
個人情報が流出した可能性のある番組・企画の一覧は以下のようです。
番組・企画等名称 | 概要 |
嵐の宿題くん | 意見募集フォーム |
おしゃれイズム | プレゼント応募フォーム |
踊る!さんま御殿!! | テーマ応募フォーム |
おネエ★MANS | 番組情報受け取り登録フォーム |
最強の頭脳 日本一決定戦!頭脳王(2015) | 参加登録フォーム |
人生が変わる1分間の深イイ話 | アプリからの3行ラブレター応募フォーム |
ダベアドリーム・プレゼント | プレゼント応募フォーム |
天才!志村どうぶつ園 | A1グランプリ投稿フォーム |
日テレ黄金週間 | 試写会応募フォーム |
日テレCM大賞2008 | 投票およびプレゼント応募フォーム |
ファミリーキャッチボール | 参加応募フォーム |
松井秀喜ホームランカード | 応募フォーム |
ママモコモてれび | うちのこも 応募フォーム |
ZIP!カメラ | アプリからの投稿フォーム |
24時間テレビ 愛は地球を救う | チャリティーグッズ販売お問い合わせフォーム |
かなりの数の番組にて流出していたことが分かりますね。
また原因ですが、ログ解析の結果、攻撃手法は「OS コマンドインジェクション」と判明したようです。
「OS コマンドインジェクション」とはOSに対する命令文を紛れ込ませて不正操作する手法でその被害に会うと、情報漏えいやシステムの改ざん・削除、不正な操作、ウィルス感染や、他サイトへの踏み台に利用されたりと、もう甚大な被害を被ることになります。
実際にはわかりませんが、上記の表の概要を見る限り、すべて入力フォームであることからサニタイジングの不備ということでしょうか。
現時点で、該当ソフトウェアの削除やデータの退避などの措置を行っているようですが、流出した後の処置ですので、今後2次被害の発生などの可能性も大いにあります。
このようなセキュリティ事故を起こしているなかで唯一評価できるのが、日本テレビのnews24内で「日テレHPに不正アクセス 個人情報流出か」のタイトルでニュースとして扱っている点ですかね。。
被害規模や原因などから興味深く今後の追加発表を注視していこうと思います。