本記事では、全国漁業協同組合連合会が運営する通販サイト【JFおさかなマルシェ ギョギョいち】が不正アクセスされ、通販サイトを改ざんされた結果、合計3万件以上の個人情報漏洩のおそれがある件について公式リリースや報道記事をもとに専門家目線で解説しています。

出典：JF全漁連

【JFおさかなマルシェ ギョギョいち】が不正アクセスを受ける

2024年5月14日に、JF全漁連は警視庁から、「JFおさかなマルシェ ギョギョいち」のサイト内のプログラムの一部が不正に改ざんされていることについて連絡を受け、同日にサイトを停止しました。

その後、警視庁への全面的な協力ならびに第三者調査機関によるフォレンジック調査を進めたことを発表しています。

出典：JF全漁連

【ギョギョいち】調査結果によるとサイト改ざんか

2024年8月19日にJF全漁連は、第三者調査機関による調査結果を公表しました。フォレンジック調査によると、以下個人情報が漏えい懸念対象となったそうです。

• サイトに会員登録された顧客【21,728件】
• 2021年4月22日～2024年5月14日の間に購入された顧客【11,844件】

 

出典：JF全漁連

ギョギョいちへの不正アクセスの手口

不正アクセスの手口として、全国漁業協同組合連合会が利用しているサイト構築サービスのクロスサイトスクリプティングの脆弱性が挙げられています。

クロスサイトスクリプティングの脆弱性をついたことによる第三者の不正アクセスがにより、不正ファイルの設置及びペイメントアプリケーションの改ざんが行われたと発表がありました。

＞クロスサイトスクリプティング（XSS）攻撃とは？仕組みや対策について解説

全国漁業協同組合連合会の行った対応

全国漁業協同組合連合会は、サイトに登録のある顧客全員にメールに連絡、調査結果などを行ってきました。

監督官庁である個人情報保護委員会には、2024年5月15日に報告済みとのことです。

さらに、クレジットカード会社と連携し、顧客に対してのサポートを行っています。

Webサイトの脆弱性とは？

脆弱性とはセキュリティ上の欠点を指しており、Webサイトはアプリケーションやソフトウェアで構築されています。つまりWebサイトの脆弱性とは、構成されているアプリケーションやソフトウェアの脆弱性ということです。

開発元が利便性向上やセキュリティ向上のため日々更新していますが、社内のリソース不足などが原因でアップデートされず脆弱性が放置されていると攻撃を受ける可能性が高くなります。

定期的に脆弱性診断を行うことで、セキュリティの脆弱性を洗い出し、対策を行うことができます。

＞脆弱性診断を実施する基準とは？考慮すべきポイントなどを解説

今回の手口は「クロスサイト・スクリプティング」(XSS)に該当します。

クロスサイト・スクリプティングとはターゲットとなるWEBサイトの脆弱性を利用して閲覧したユーザーを悪質なサイトへ誘導するスクリプトを挿入するサイバー攻撃です。

「ギョギョイチ」というWebサイトを信頼できるものとして使用していたユーザーは疑うこともなく悪質なサイトに誘導されていたことが予想できます。

＞WEBサイトの改ざんとは？手口や被害調査の方法を紹介

実際にどういった手口で改ざんが行われたのかは、きちんと調査しなければ分かりません。

調査してみると重大な脆弱性が放置されていたことが発覚するケースもあるため、WEBサイトの改ざん被害に遭った際は一刻も早く専門家によるフォレンジック調査を行うことが望ましいです。

まとめ

今回の記事では、【JFおさかなマルシェ ギョギョいち】不正アクセスされ情報漏洩が発生した件についてまとめました。

今回の手口はWebサイト改ざんと呼ばれるものです。Webサイト改ざんについて詳しく知りたい方は、下記に解説記事がありますのでお読みください。

関連記事

WEBサイトの改ざんとは？手口や被害調査の方法を紹介WEBサイトの改ざんの被害を受けた場合、管理者の意図に反する情報の発信や悪意のあるプログラムが埋め込まれて閲覧したユーザーにまで被害が及ぶことがあるため非常に危険です。WEBサイトが改ざんされる原因やその手口、および被害調査の方法などについて解説します。...

【最新】個人情報漏えい時における対応方法とフォレンジック調査について紹介個人情報漏えいに対する対応策と、実際に発生した被害事例を網羅的に紹介します。フォレンジック調査は、情報漏えいやセキュリティ侵害の発生時に重要な役割を果たす専門的な手法です。当サービスはデータ復旧専門業者14年連続データ復旧国内売上No.1、ご相談件数約2.4万件、データ復旧率95.2%の実力を活かしたフォレンジックサービスです。...