先日、速報しました日本テレビの個人情報流出問題に続き、東京のFMラジオ局であるJ-WAVEでも不正アクセスが発生した模様です。

個人情報流出の可能性に関するお詫びとお知らせ (4/23 更新)

同社によると、J-WAVEのWEBサーバー（http://www.j-wave.co.jp/）に不正アクセスがあり、最大で個人情報約64万件が流出した可能性があるとのことです。

流出した可能性のある情報は、「2007年以降J-WAVEのホームページのメッセージフォームから、番組へメッセージをお送りいただいた方、プレゼントに応募いただいた方のお名前・住所・電話番号・メールアドレス」等です。

そしてその原因が、利用していたソフトウェアの未知なる脆弱性を突かれたものだと判明したようです。

そのソフトウェアというのがMovable Typeのプラグイン「ケータイキット for Movable Type」のようです。

脆弱性タイプ

OS コマンドインジェクション

発見バージョン

ケータイキット for Movable Type の、1.35 以降のバージョンから、1.641 まで

対応方法

対策版であるバージョン1.6.5にアップデートする

以下のページよりダウンロード可能です。
http://www.keitaikit.jp/download/plugin.php

※注意点として、対策版アップデートした際に、セキュリティアップデート前のバージョンが1.35 から、1.63 までをお使いの方は、ウェブサイトとブログの全体再構築が必要のようです。

その為、最新版へのアップデートが一時的に出来ない場合の対処として各バージョンの緊急パッチファイルも提供されております。

詳細は、https://www.ideamans.com/release/20160423/をご覧ください。

（こちらはあくまで緊急対策として、同プラグインの動作を止めるもののようですので、速やかに対策版へのアップデートをお勧めします。）

さらに同プラグインを提供しているアイデアマンズ株式会社は今回の件を受けて、同プラグインのセキュリティ問題をチェックするプラグイン「KeitaiKit セキュリティチェック」の提供を開始し、「ケータイキットの脆弱性対策 特設ページ」を開設したようです。ご利用の方は、こちらも併せてご覧ください。

（【重要】ケータイキット for Movable Typeの脆弱性をチェックする「KeitaiKit セキュリティチェック」プラグインを公開、[購入者向け]ケータイキットの脆弱性対策 特設ページを開設）

今回の件は、J-WAVEの不正アクセス発覚後に、同プラグインが原因と判明し、対策へと移った形です。

ちなみに、日本テレビも同じOSコマンドインジェクションの脆弱性が起因していますが、原因となったソフトウェアの具体的な名称は公表していないようです。

同じ放送関係での出来事だけに、色々勘ぐってしまいますね。

こちらの件を受けて、ふと「これってどこの責任になるのだろうか」と考えてしまいました。

当ブログでもあつかったように（「セキュリティ対策が、「開発会社の」責任となる判決が出たそうです。」）最低限注意すべきセキュリティ対策を怠っていればソフトウェア開発会社の責任であるという判例も出ております、しかし今回は未知なる脆弱性が影響しておりますので、最低限の注意はしていると判断できるのでしょうか。

それとも、「OSコマンドインジェクションを対策していないのか」という意見も出てくると思いますし。

また、受託開発ではなく、CMS（コンテンツ管理システム）の一プラグインであり、それの利用を選択した時点で利用者責任ではないか？とも思いますし。それは有料とか無料とかで片づけるものではないとも思います。

とてもセンシティブな問題である今回のケース、今後の動向が注目されます。（日本テレビの件もね）