日本郵便の「国際郵便マイページサービス」で顧客情報約3万件が流出の可能性

日本郵便は3月14日、「国際郵便マイページサービス」の運営サイトが第三者による不正アクセス攻撃を受け、サイト上で登録されていた顧客情報約3万件が外部に流出した可能性があると発表した。

「国際郵便マイページサービス」はEMS、国際小包、国際書留といった荷物を発送する際、郵便物に添付する国際郵便の送り状、インボイスなどをオンライン上で作成するシステム。

Apache Software Foundationが提供するJavaのウェブアプリケーションを作成するためのアプリケーションフレームワーク「Apache Struts2」の脆弱性を突かれたのが原因。その脆弱性は、第三者によりサーバ上で悪意あるコードをリモートで実行される可能性があるというもの。

2017年3月12日から3月13日までの間、「国際郵便マイページサービス」サイト上で作成された送り状1104件、サイト上に登録されているメールアドレス2万9116件が流出した可能性があるという。

2017年3月13日22時49分に「国際郵便マイページサービス」を緊急停止。不正アクセスおよび情報流出の防止対策を講じ、3月14日に復旧している。

日本郵便はシステムの監視を強化するとともに、再発防止について取り組んでいくとしている。

なお、情報が流出した可能性のある顧客について今後、個別に連絡をするという。

「Apache Struts2」の脆弱性に関し、決済代行のGMOペイメントゲートウェイが運営を受託している2つのサイトが外部から不正アクセスを受け、セキュリティコードを含むカード情報71万9830件が漏えいした可能性があることがわかっている。