スパイラルECで外部から不正アクセス。

3.原因
　本件情報流出に至った原因は以下のとおりです。
（１）システム構成上の脆弱性の存在
　１）本件システムは、Webサーバの負荷分散のためリバースプロキシを介してコンテンツデータをバックエンドのWebDAVサーバから参照する構成をとっております。しかしながら、Webサーバにおいて本来不要であるPUTメソッドを無効化しておらず、外部から当該メソッドを利用してバックエンドのWebDAVサーバに第三者が任意のファイルを設置できる状態にありました。
　２）当該WebDAVサーバは、機能上の必要性からPHPが動作する設定でありました。
（２）攻撃者によるバックドアPHPプログラムの設置
　１）攻撃者は、脆弱性診断ツールを利用して前記「システム構成上の脆弱性」を確認。
　２）PUTメソッドを利用してバックエンドのWebDAVサーバにPHPプログラムを設置。
　３）当該PHPプログラムを利用して複数回に分割してファイルを設置。それらを結合してバックドアPHPプログラムを設置。
（３）攻撃者による情報収集の実施
　１）攻撃者は、バックドアPHPプログラムを利用してサーバ上のファイル閲覧及びデータベースへの接続を試行。
　２）攻撃者は、ECサイト運営者の管理画面へのログインID及びパスワードのメッセージダイジェストを閲覧。
（４）攻撃者によるECサイト運営者の管理画面へのログインIDでの不正アクセス
　１）攻撃者は、先に収集した運営者の管理画面へのログインID・パスワードのメッセージダイジェストの解析及びログイン試行を経て一部のIDでの不正アクセスに成功。
　２）攻撃者は、管理画面より一部データのダウンロードに成功。

「SPIRAL EC(R)」への不正アクセスによる個人情報流出について｜情報資産プラットフォームを活用したソリューション提供のパイプドビッツ