日本貿易振興機構(JETRO)は2017年3月10日、Webサイトの「相談利用者様登録ページ」が不正アクセスを受け、登録者のメールアドレス2万6708件が窃取された可能性があると発表した。「(JavaのWebアプリケーションを作成するためのソフトウエアフレームワークである)Apache Struts2の脆弱性を悪用された可能性が濃厚だと考えている」(広報課)としている。

JETROのWebサイトに掲載されたお知らせ
[画像のクリックで拡大表示]

 窃取された可能性のある情報はメールアドレスとログイン日時。JETROのサイトではログイン用のIDとしてメールアドレスを使っており、今回の事案ではログイン履歴のログ情報が消去されていたことから、メールアドレスが窃取された可能性があるとJETROでは推定している。パスワードやその他の個人情報は「窃取されていないと判断している」(広報課)。

 相談利用者様登録ページでは、3月8日に登録ユーザーがJETROのサイトにログインできなくなるという不具合が発生。それを受けてシステム会社が調査したところ、ログインに必要な情報やログ情報などが削除されていたことが同日判明。不正アクセスした何者かが消去したものとJETROでは分析している。

 原因については「特定に至っていないが、時期的なことを考えるとApache Struts2の脆弱性を悪用された可能性が濃厚だと考えている」(広報課)。Apache Struts2を巡っては、日本では情報処理推進機構(IPA)が3月8日に、JPCERTコーディネーションセンターも3月9日に脆弱性情報を出して注意を呼びかけていた。3月10日には、東京都の「都税クレジットカードお支払いサイト」と住宅金融支援機構の「団体信用生命保険特約料クレジットカード支払いサイト」も不正アクセスを受け、クレジットカード情報など合わせて約72万件の情報が流出した可能性があると発表している。

 JETROでは通常、セキュリティ会社からの脆弱性情報に基づき不正アクセス対策を強化しているが、「今回は脆弱性情報より前に攻撃を受けていたとみられ、対策が間に合わなかった」(広報課)としている。