全1727文字
PR

著名なセキュリティーリサーチャーのpiyokango氏が注目のシステムトラブルをピックアップ。今週の注目ネタは……。

 今回は3件のトピックを紹介する。Yahoo!トラベルの利用者の個人情報などが広告会社に送られたトラブルと、EC-CUBEのクロスサイトスクリプティングの脆弱性、WOWOWで視聴できない不具合である。

利用者の個人情報がURLに付加される不具合

 ヤフーは2021年6月14日、旅行予約サービスのYahoo!トラベルにおいて、ページ遷移処理の不具合によって利用者の個人情報やクレジットカード情報が広告会社3社に送られていたと発表した。

Yahoo!トラベルの予約フォームの不具合について
Yahoo!トラベルの予約フォームの不具合について
出所:ヤフー
[画像のクリックで拡大表示]

 不具合があったのはスマートフォン向けの予約フォーム。「チェックイン時間は、現在の時間以降を選択してください」もしくは「セキュリティーの有効期限が切れました。恐れ入りますが、あらためてお手続きください」というエラーが表示されたとき、利用者が「予約フォームへ戻る」をクリックすると個人情報やカード情報がURLに付加されるという不具合だった。広告効果測定プログラムが広告会社のサーバーにURLを送っていたため、不具合が発生したときは個人情報なども送られていた。

 不具合が発生していた期間は2018年10月9日から2021年5月12日までの約2年半。URLには予約者の名前や住所、電話番号、メールアドレスのほか、未登録のクレジットカードで事前決済した場合はカード番号の下4桁や有効期限、セキュリティーコードなども付加されていた。

 ヤフーは事態を把握した後、情報の削除を広告会社に依頼。広告会社からは情報の利用や第三者への提供を行っていないとする回答を受けたとしている。不具合はすでに解消済みで、被害に遭った利用者にはメールで順次通知すると説明した。

https://travel.yahoo.co.jp/notice/maintenance/post_9/

JPCERT/CCがEC-CUBEの脆弱性について注意喚起

 JPCERTコーディネーションセンター(JPCERT/CC)は2021年6月15日、EC構築システム「EC-CUBE」のプラグインに複数の脆弱性が存在し、一部の脆弱性についてはそれを悪用する攻撃が確認されたとして、該当する利用者には早期のアップデートを呼びかけた。

EC-CUBE 3.0用プラグインの脆弱性に関する注意喚起
EC-CUBE 3.0用プラグインの脆弱性に関する注意喚起
出所:JPCERTコーディネーションセンター
[画像のクリックで拡大表示]

 注意喚起で取り上げたのはEC-CUBE 3.0用の6つのプラグインで、いずれもクロスサイトスクリプティングの脆弱性が存在する。このうち、「配送伝票番号プラグイン」に存在する脆弱性CVE-2021-20735への攻撃が確認されたという。この攻撃を受けると、Webブラウザーでアクセスしたときに任意のスクリプトを実行される可能性がある。

 EC-CUBEにおいては4.0にもクロスサイトスクリプティングの脆弱性が2021年5月に見つかっている。複数のECサイトでそれを悪用する攻撃を受けたことが、EC-CUBEの公式サイトで明らかになっている。

https://www.jpcert.or.jp/at/2021/at210028.html