情報オリンピック日本委員会ウェブサーバーに対する外部からの不正アクセスについて

2013年9月17日
（特非）情報オリンピック日本委員会

本会ウェブサーバーに対する不正アクセスについて，本会ウェブページにて2013年5月10日に以下のご報告をいたしました．

本会ウェブサーバーに対する不正アクセスにより意図しないウェブページが作成されていることが5月9日午前7時頃に判明しました． このため5月9日午前10時頃からウェブページの公開を一時停止しておりましたが一部コンテンツの公開を再開しました． ご迷惑をおかけしていることをお詫び申し上げます． 引き続き影響の調査および対策の検討をしております． 調査結果がある程度出ましたら改めて状況をご報告いたします．

第13回日本情報オリンピック (JOI 2013/2014) の参加申込を2013年10月1日から開始するにあたり，影響および対策の概略をご報告いたします．

事象

• 本会ウェブサーバーでは，一般に広く使用されているミドルウェアを利用しているが，少なくとも2012年3月には既知となった脆弱性を含む古いバージョンを不正アクセスされた時点で使用していた． そのため，その脆弱性を利用され，プログラムファイルおよび HTMLファイルが作成された．5月9日時点で確認できた不正アクセスにより作成されたファイルについて，それらの作成期間は4月30日から5月8日の間である． ただし，4月30日以前に不正アクセスによりファイルが作成されたかどうかは判定できない．
• 本会が作成したページが改ざんされた形跡は発見されなかった．
• JOI 2012/2013 の参加登録情報はウェブサーバーと別のサーバーに保存しており，参加登録情報を保存しているサーバーに対して不正アクセスがなされた形跡は発見されなかった． なお，JOI 2012/2013 より前の JOI 参加登録情報は，不正アクセスされた時点で参加登録情報を保存しているサーバーには保存していない．

影響

• 4月30日より5月9日までの間に，外部の電子掲示板などに書き込まれた URL により誘導され，不正アクセスにより作成されたページが閲覧された．
• 4月30日以降のある日時（不明）より5月9日までの間に，不正アクセスにより作成されたページへのアクセスは，外部ウェブページヘのアクセスへと自動的に移送された．
• 本会が作成したページが改ざんされた形跡は発見されなかったことから，改ざんの痕跡を消去された可能性は否めないものの，本会が作成したウェブページにアクセスしたユーザーには影響がなかったと推認される．
• JOI 2012/2013 の参加登録情報を保存しているサーバーに対して不正アクセスがなされた形跡は発見されなかったことから，不正アクセスの痕跡を消去された可能性は否めないものの，参加登録情報の漏洩はなかったものと推認される．

対策

• ウェブサーバーの構築・開発・運用を委託している業者を通じて，ウェブサーバーを新たに構築し直し，当該業者が7月16日時点で把握していた既知脆弱性への対応を施した．
• 侵入検知システムを導入した．これを適切に運用することで，万が一不正アクセスがあった場合には速やかに対応できるよう務める．
• 使用している OS やミドルウェアに重大な脆弱性が含まれることを本会が認識した場合は，その対応を行うまでサーバーを停止する．

以上