サイバーセキュリティーサービスの比較・資料請求サイト|中小企業向けのセキュリティ対策を考える「サイバーセキュリティ」に関する情報メディア。日本の中小企業の情報を守るため、最新のセミナー・人材育成・製品・中小企業向けのセキュリティ対策を考えるサイバーセキュリティ情報サイトです。

エコ診断サービスを提供する6サイトで情報漏洩、管理会社の設定に不備



政府系エコ診断サービスなどを提供する有限会社ひのでやエコライフ研究所は、2018年6月27日、自社サーバーが不正アクセスを受けた事により、複数のサイトが停止状態にあることを発表しました。

同社によると、攻撃者は対象の脆弱性を利用して不正なコードを注入する「SQLインジェクション攻撃」を実行したとのこと。被害は甚大を極め、既に合計6箇所のサイトにて個人情報漏洩が発生している状況です。

データベース設定に問題があり被害が拡散

有限会社ひのでやエコライフ研究所によると、攻撃者は2108年3月19日~20日の間に
SQLインジェクションによる不正アクセスを敢行。同社が管理するサイトの1つに侵入したと説明しています。

ところが、同社のデータベース設定には問題があり、全てのサイトのデータが閲覧できる状態にあったため、被害が拡散。結果として、同社が管理する鳥取県・京都府・埼玉県など複数の政府系サイトから情報漏洩が発生したとのことです。

被害規模は?

有限会社ひのでやエコライフ研究所は今回の事案について、攻撃を受けたサイトを公表しています。具体的には以下の通りです。

発表時点では、二次被害防止のために大部分のサイトを一時停止中とのこと。「万全な体制が整うまでしばらく、ご了承いただければ幸いです。」と説明しています。

関連記事埼玉県運営サイトが不正アクセス被害、サービス登録者情報2,291名分が漏洩の可能性

今後の「リストアタック攻撃」に注意が必要

有限会社ひでのやエコライフ研究所は、セキュリティ会社と協力して調査を進めたところ「メールアドレスと暗号パスワードがセットとなって流出していることを確認しました」と説明しています。

そのため、流出情報の対象者が他のサイトで同じパスワード設定を行っている場合、リストアタックの対象となる可能性があるとのこと。同社は謝罪を行うとともに、注意を呼び掛けています。

参照不正アクセスによる個人情報流出のご報告とお詫び/有限会社ひのでやエコライフ研究所
参照弊社管理サイトからの個人情報流出の報告とお詫び その2/株式会社ひのでやエコライフ研究所


無料のWEBセキュリティ診断が可能!

URLhttps://cybersecurity-jp.com/shindan/ 「WEBセキュリティ診断くん」は、Webアプリケーションに存在する脆弱性を診断するツールで、無料でWEBサイトに存在する脆弱性の数を把握することが可能です。 また、実際に脆弱性に対してどのような対策を行えば良いかは、月額10,000円からの少額で診断結果を確認することが可能です。 まずは無料で脆弱性の数を診断してみてはいかがでしょうか?


書籍「情報漏洩対策のキホン」プレゼント


当サイトへの会員登録で、下記内容の書籍「情報漏洩対策のキホン」3000円相当PDFプレゼント
(実際にAmazonで売られている書籍のPDF版を無料プレゼント:中小企業向け大企業向け


ぜひ下記より会員登録をして無料ダウンロードしてみてはいかがでしょうか?

無料会員登録はこちら

SNSでもご購読できます。