「ケータイキット for Movable Type」のOSコマンドインジェクション攻撃が芸能関係に集中してるのが気になる。
最新のものだと、エイベックスの事故ですが。
J-WAVEの流出と同じソフトの欠陥
エイベックスと同じソフトウエアを利用していた東京のFMラジオ局、「J-WAVE」でも、今月、不正アクセスを受けておよそ64万件の個人情報が流出したおそれがあることが分かっています。
JーWAVEによりますと、パソコン向けのウェブサイトを携帯向けに変換する「ケータイキットforMovableType」と呼ばれるソフトの欠陥が原因で不正アクセスを受けたということです。このソフトはエイベックスも利用していて、販売会社によりますと、これまでに国内の1000社以上に販売したということです。
J-WAVEの一件もNHKニュース記事内で触れられてますが、
その以前だと、日テレも同様だと考えられている。
「ケータイキット for Movable Type」にOSコマンドインジェクションの脆弱性、利用者は修正バージョンへアップデートを、すでにJ-WAVEへの攻撃で悪用 -INTERNET Watch
「国内で1000社以上に販売」と言われているのに、
芸能関係が集中的に狙われてるのが違和感が何か。。。
他の産業で使ってるところは、攻撃されてる事に
そもそも気づいてない可能性もあるので何とも言えませんが。
(ログの確認もロクにできない企業とかありそう)
OSコマンドインジェクションだと、
OSコマンドが通りまくりで結構やりたい放題できるので、
ログもゴッソリ消されてる可能性もあって、
ちゃんと通信ログ監視ができるファイアウォールを
入れてないと何も捕捉できてない事もあるかなぁと。