事案の発生
■被害企業
サーバー設置先: Microsoft - Japan West (Osaka Prefecture) datacenter (JP) 、サーバー証明書: DigiCert - GeoTrust TLS RSA CA G1 (US) OV証明書
事案の概要
XXE(XML外部実体の参照)の脆弱性を悪用した攻撃により、RICOH Driveが不正アクセスされ、利用者の個人情報が漏えいした事案です。
影響範囲
2023年9月18日21時46分~22時01分に不正アクセスされ、RICOH Driveの利用者4,244件のログインIDが漏えいした可能性があります。そのうち629件はメールアドレスをログインIDとして設定されています。
ログインIDに加えて、ユーザープロパティ情報に不正アクセスされ、登録氏名とメールアドレス、暗号化されたパスワードが3件、暗号化されたパスワードのみが3件についても漏洩した可能性があります。
XXEの脆弱性は、数多くのソフトウェア製品や開発されたプログラムに存在しています。
ソフトウェア製品だけでなくハードウェア製品に組み込まれてしまっている場合もあります。
個々の製品の修正プログラムを適用するだけでは防ぎきれないため、WAF等を用いてWebアプリケーションに対する操作を監視する必要があります。
本事案についての詳細は、リコーが発行した次のリリースに掲載されています。
※これまで月別に掲載していた過去のセキュリティ事案の一覧は下記に移設し、随時更新することにしました。