HOME コラム一覧 知って得するセキュリティのはなし  その259

知って得するセキュリティのはなし  その259

post_visual

既に使用されていないWebページが攻撃…ユーザー等情報最大83万件流出か

1.このニュースをざっくり言うと

- 5月24日(日本時間)、積水ハウス社より、同社会員サイト「積水ハウス Net オーナーズクラブ」が不正アクセスを受け、会員や従業員のメールアドレス等の情報が流出した可能性があると発表されました。
- 流出が確認されたのは、当該サイト会員のメールアドレスとアカウント情報108,331人分(この他漏えいの可能性を否定できないもの464,053人分)、および同社グループないし協力会社スタッフ等のメールアドレスと社内システムログイン用パスワード183,590人分(この他漏えいの可能性を否定できないもの72,194人分)で、被害を受けた可能性がある情報は最大のべ828,168人分とみられます。
- 2008年~2011年に使用、現在は使用されていなかったWebページのセキュリティ設定に不備があり、同21日に当該ページへの不正アクセスを受けたことが情報流出に繋がったとされています。
機器等へのログインについても、管理者・一般ユーザーに拘らず強固なパスワードの設定、想定にないアカウントが有効でないかの確認が重要ですし、加えてID・パスワードのみならず証明書や多要素認証の採用等も検討すべきです。

2.執筆者からの所感等

- 発表では不正アクセスの原因を「データベースを操作するための言語を用いたサイバー攻撃」としており、SQLインジェクションの脆弱性を悪用された可能性があります。
- SQLインジェクションは近年でもECサイトからの情報流出等の原因として挙げられることがありますが、問題となったページが開設された2008年当時には攻撃によるWebサイトの改ざんが頻発し、セキュリティ企業等から注意喚起が出されていました。
- Webアプリケーション開発の時点で、SQLインジェクションをはじめサーバーへの侵入や情報流出等に繋がる脆弱性が可能な限り入り込まない体制をとること、自社や第三者機関でのセキュリティ診断実施による脆弱性等の発見・対策を行うこと、またWAF・IDS・IPSの採用による攻撃の検知・遮断の検討が肝要であり、またWebサイト全体の管理において既に使用されていないコンテンツやページの棚卸しと削除を行うことも、攻撃の余地を残さない意味でセキュリティ対策の一環として考慮に値するでしょう。

執筆者情報

profile_photo

株式会社アルテミス

株式会社アルテミスは、1995年(平成7年)に設立以来、情報通信および情報セキュリティという事業領域において、お客様ニーズに合わせてワンストップにて各種ソリューションを提供しています。
自社製品として情報セキュリティ関連の各種シリーズをリリース、そのほか、ネットワークセキュリティの分野では、疑似侵入診断サービス、Webアプリケーション診断サービスなどによるネットワークの脆弱性診断などを展開するなど、官公庁・金融機関・一部上場企業を初めとする大手・中堅企業から中小企業に至るまで、多くの企業がセキュアなシステムを構築するための支援を首尾一貫して提供しています。
特に50名以下の管理者がいない法人(SMB)法人に対してセキュリティ+マネージドサービスを提供しています。
SMB市場でのセキュリティ機器&サービスは、提案、購入するだけでは、エンドユーザへの『真の導入には至らない』ため、システム管理者が不在でも、機器の運用、サービスの運用、 IT機器の活用方法、トラブル対応、リスク対応などを標準化した商品を提供しています。

株式会社アルテミス
https://www.artemis-jp.com/

株式会社アルテミス AUS便り
https://www.artemis-jp.com/wp/aus_arc/

この記事のカテゴリ

この記事のシリーズ

知って得するセキュリティのはなし

記事の一覧を見る

関連リンク

知って得するセキュリティのはなし  その258

税務・会計に関する情報を毎週無料でお届けしています!

メルマガ登録はこちら


コラム
/column/2024/img/thumbnail/img_36_s.jpg
- 5月24日(日本時間)、積水ハウス社より、同社会員サイト「積水ハウス Net オーナーズクラブ」が不正アクセスを受け、会員や従業員のメールアドレス等の情報が流出した可能性があると発表されました。- 流出が確認されたのは、当該サイト会員のメールアドレスとアカウント情報108,331人分(この他漏えいの可能性を否定できないもの464,053人分)、および同社グループないし協力会社スタッフ等のメールアドレスと社内システムログイン用パスワード183,590人分(この他漏えいの可能性を否定できないもの72,194人分)で、被害を受けた可能性がある情報は最大のべ828,168人分とみられます。- 2008年~2011年に使用、現在は使用されていなかったWebページのセキュリティ設定に不備があり、同21日に当該ページへの不正アクセスを受けたことが情報流出に繋がったとされています。機器等へのログインについても、管理者・一般ユーザーに拘らず強固なパスワードの設定、想定にないアカウントが有効でないかの確認が重要ですし、加えてID・パスワードのみならず証明書や多要素認証の採用等も検討すべきです。
2024.05.31 17:01:23