J-WAVEは2016年4月22日、Webサイトへの不正アクセスにより、リスナーなどの個人情報約64万件を流出させた可能性があると公表した。原因はアイデアマンズ製「ケータイキット for Movable Type」の脆弱性で、同社は22日にパッチファイルを公開した。既に攻撃が成功しているため、同ソフトの利用者はパッチを至急適用する必要がある。

 流出した可能性がある個人情報は、名前や住所、メールアドレス、電話番号、性別、年齢、職業など約64万件。2007年以降にJ-WAVEのWebサイトから番組あてに送ったメッセージやプレゼント応募者のデータという。「2006年以前のデータは保存期間を過ぎているため消去済みだった」(J-WAVE広報)。

 同社は流出の可能性がある人にメールで知らせており、既に数件の問い合わせが来ているという。Webサイト上では件名にJ-WAVEの表記があるメール、メッセージなどに注意するよう呼びかけており、「銀行の口座やクレジットカード情報、暗証番号、マイナンバーなどをお伺いすることは絶対ありません」としている。

24時間監視で判明

 J-WAVEによれば、何者かが4月21日午前0時から午前3時ころにかけて同社のWebサーバーに不正アクセスした。外部の専門会社による24時間監視体制で判明、「ディスク容量が減っていっているという警告が上がった」(同)。調査したところ、攻撃者が様々な圧縮ファイルなどを書き込み続けていることが分かった。

 セキュリティ会社のアドバイスを受けながら、J-WAVEのシステム部門などが影響を調査。21日夕方ごろに事態が判明した。アクセスログの解析結果から、ブログをモバイル端末向けに変換するMovable Type向けのプラグインソフト「ケータイキット for Movable Type」に存在した未知の脆弱性が悪用されて、OSに対する任意のコマンドを外部から実行する「OSコマンドインジェクション」攻撃が実行されたことが分かった。

 J-WAVEは流出した可能性のあるデータを全てWebサイトから削除して、他の安全な場所に保管。併せてWebサイトのアプリケーションから「ケータイキット for Movable Type」を削除するとともに、他のソフトの安全性の確認を進め、対策も講じたという。

 同社は「個人情報流出の可能性がある皆さまにたいへんなご迷惑をお掛けしたことを深くお詫び申し上げます」と謝罪。再発防止に向けセキュリティ強化の対策を施すとした。