無料セキュリティ対策に不安がある企業必見！「セキュリティ対策無料相談窓口」

政府系エコ診断サービスなどを提供する有限会社ひのでやエコライフ研究所は、2018年6月27日、自社サーバーが不正アクセスを受けた事により、複数のサイトが停止状態にあることを発表しました。

同社によると、攻撃者は対象の脆弱性を利用して不正なコードを注入する「SQLインジェクション攻撃」を実行したとのこと。被害は甚大を極め、既に合計6箇所のサイトにて個人情報漏洩が発生している状況です。

データベース設定に問題があり被害が拡散

有限会社ひのでやエコライフ研究所によると、攻撃者は2108年3月19日～20日の間に
SQLインジェクションによる不正アクセスを敢行。同社が管理するサイトの1つに侵入したと説明しています。

ところが、同社のデータベース設定には問題があり、全てのサイトのデータが閲覧できる状態にあったため、被害が拡散。結果として、同社が管理する鳥取県・京都府・埼玉県など複数の政府系サイトから情報漏洩が発生したとのことです。

被害規模は？

有限会社ひのでやエコライフ研究所は今回の事案について、攻撃を受けたサイトを公表しています。具体的には以下の通りです。

• 鳥取県環境家計簿「わが家のエコ録」
• 埼玉版WEB家庭のエコ診断（停止中）
• 小平市環境家計簿「楽しく省エネECOダイラーくらし宣言」
• 滋賀県みるエコおうみ （閉鎖中）
• 京都府地球温暖化防止活動推進センター「エコドラナビゲータ」（停止中）
• IGESうちエコ診断WEB（環境省のうちエコ診断とは別のサイト。現在は閉鎖中）

発表時点では、二次被害防止のために大部分のサイトを一時停止中とのこと。「万全な体制が整うまでしばらく、ご了承いただければ幸いです。」と説明しています。

関連記事埼玉県運営サイトが不正アクセス被害、サービス登録者情報2,291名分が漏洩の可能性

今後の「リストアタック攻撃」に注意が必要

有限会社ひでのやエコライフ研究所は、セキュリティ会社と協力して調査を進めたところ「メールアドレスと暗号パスワードがセットとなって流出していることを確認しました」と説明しています。

そのため、流出情報の対象者が他のサイトで同じパスワード設定を行っている場合、リストアタックの対象となる可能性があるとのこと。同社は謝罪を行うとともに、注意を呼び掛けています。

参照不正アクセスによる個人情報流出のご報告とお詫び/有限会社ひのでやエコライフ研究所
参照弊社管理サイトからの個人情報流出の報告とお詫び その２/株式会社ひのでやエコライフ研究所