政府系エコ診断サービスなどを提供する有限会社ひのでやエコライフ研究所は、2018年6月27日、自社サーバーが不正アクセスを受けた事により、複数のサイトが停止状態にあることを発表しました。

同社によると、攻撃者は対象の脆弱性を利用して不正なコードを注入する「SQLインジェクション攻撃」を実行したとのこと。被害は甚大を極め、既に合計6箇所のサイトにて個人情報漏洩が発生している状況です。

データベース設定に問題があり被害が拡散

有限会社ひのでやエコライフ研究所によると、攻撃者は2108年3月19日~20日の間に
SQLインジェクションによる不正アクセスを敢行。同社が管理するサイトの1つに侵入したと説明しています。

ところが、同社のデータベース設定には問題があり、全てのサイトのデータが閲覧できる状態にあったため、被害が拡散。結果として、同社が管理する鳥取県・京都府・埼玉県など複数の政府系サイトから情報漏洩が発生したとのことです。

被害規模は?

有限会社ひのでやエコライフ研究所は今回の事案について、攻撃を受けたサイトを公表しています。具体的には以下の通りです。

発表時点では、二次被害防止のために大部分のサイトを一時停止中とのこと。「万全な体制が整うまでしばらく、ご了承いただければ幸いです。」と説明しています。

関連記事埼玉県運営サイトが不正アクセス被害、サービス登録者情報2,291名分が漏洩の可能性

今後の「リストアタック攻撃」に注意が必要

有限会社ひでのやエコライフ研究所は、セキュリティ会社と協力して調査を進めたところ「メールアドレスと暗号パスワードがセットとなって流出していることを確認しました」と説明しています。

そのため、流出情報の対象者が他のサイトで同じパスワード設定を行っている場合、リストアタックの対象となる可能性があるとのこと。同社は謝罪を行うとともに、注意を呼び掛けています。

参照不正アクセスによる個人情報流出のご報告とお詫び/有限会社ひのでやエコライフ研究所
参照弊社管理サイトからの個人情報流出の報告とお詫び その2/株式会社ひのでやエコライフ研究所

【無料メール講座】6日間で「未知のマルウェア」&「ヒューマンエラー」対策が分かる最新セキュリティトレンド講座


社内のセキュリティ対策でお悩みではありませんか?
この講座を受けていただくと、6日間のメールで下記のことがわかるようになります。

  • 必要最低限の「セキュリティ対策」を正しく理解する方法とは?
  • 経営者目線のセキュリティ対策とは?
  • 経営者が陥りやすいセキュリティ対策の3つの思い込みとは?
  • セキュリティ対策を進める上で知っておくべき3つのポイント
  • セキュリティ対策の大きな課題「未知のマルウェア」&「ヒューマンエラー」の解決方法

この情報をぜひ貴社のセキュリティ対策にお役立てください。