SQLインジェクションでアドレス2,086件流出か、名大情報連携推進本部|サイバーセキュリティ.com

SQLインジェクションでアドレス2,086件流出か、名大情報連携推進本部



画像:名古屋大学より引用

名古屋大学は2022年6月28日、同大情報連携推進本部で運用しているQ&Aシステム(情報システムに関する問い合わせシステム)がSQLインジェクション攻撃を受け、システムに保存されていたメールアドレス2,086件に流出の可能性があると明らかにしました。

説明によると、2022年5月16日にQ&Aシステムログを確認したところ、攻撃の痕跡と思われる痕跡が検出されました。同大が調査したところ、攻撃者は2022年5月10日~2022年5月15日にかけ複数にわたりSQLインジェクション攻撃を仕掛け、情報流出を目論んでいました。

SQLインジェクション攻撃とはウェブサイトに運用側が意図しないSQLと呼ばれるコードを注入し、情報流出を引き起こすサイバー攻撃です。通常、システムは情報流出が起きないよう設計されていますが、悪意のある人物が提供側が想定していない文章を注入し、被害を及ぼすケースもあります。

プログラムは修正済、個別連絡で注意喚起

名古屋大学は攻撃が確認された2022年5月16日時点で、プログラムを修正し、原因となった脆弱性の解消しています。

しかし、対象システムには過去質問時に連絡先として記載されたメールアドレス情報が記録されていたため、流出懸念が生じています。名古屋大学はこのため、対象者に個別にメールを送信し、事実関係を説明しています。

なお、名古屋大学によると、公表時点でメールアドレスの不正利用が疑われる事象は確認されていません。

参照名古屋大学への不正アクセスによる個人情報流出について/名古屋大学


セキュリティ対策無料相談窓口


「セキュリティ対策といっても何から始めたら良いかわからない。」「セキュリティ対策を誰に相談できる人がいない。」等のお悩みのある方、下記よりご相談ください。

無料相談はこちら

SNSでもご購読できます。