全1605文字
PR

著名なセキュリティーリサーチャーのpiyokango氏が注目のシステムトラブルをピックアップ。今週の注目ネタは……。

 今回は3件のトピックを紹介する。メール配信システムへの不正侵入と、電報システムの不具合、メール配信サービスからの情報流出である。

職員になりすましメール届く(1月4日)

 あいちトリエンナーレ実行委員会が管理するメールニュース配信システムに第三者が不正に侵入したと、愛知県が発表した。あいちトリエンナーレは3年ごとに愛知県で開催される国際芸術祭。

あいちトリエンナーレのメール配信システムへの不正アクセスについて
あいちトリエンナーレのメール配信システムへの不正アクセスについて
出所:愛知県

 2021年1月4日午前中に実行委員会の職員がメールニュースのアカウントから送信した覚えのないメールを受信して、配信システムへの不正侵入に気付いたという。実行委員会はメールニュースの登録者に通知し、配信システムを停止させた。個人情報が漏洩した可能性があり、調査中としている。原因については、発表の中で触れられていない。

 愛知県がこの被害を発表した直後の1月6日と8日、メール配信ソフト「acmailer」のベンダーであるシーズがacmailerの脆弱性を明らかにした。1つは個人情報の漏洩につながる脆弱性(CVE-2021-20617)、もう1つは第三者に配信システムの全権限を取得される恐れがある脆弱性(CVE-2021-20618)である。どちらもacmailerを最新版にアップデートすることで修正できる。

acmailerの脆弱性について
acmailerの脆弱性について
出所:シーズ

 筆者があいちトリエンナーレのメールニュースの登録ページにアクセスすると、「powered by メール配信CGI acmailer」という文字を確認できた。あいちトリエンナーレのメールニュース配信システムではacmailerを使用していたとみられる。

 あいちトリエンナーレ以外にもacmailerを使用しているとみられるサイトは検索サイトなどで1000件以上見つかった。acmailerの脆弱性とあいちトリエンナーレの被害との関連性は不明だが、acmailerの脆弱性を残したまましておくのは危険だ。利用者はいち早く対処する必要がある。

https://www.pref.aichi.jp/soshiki/bunka/20210104.html