全1986文字
PR

国内組織から流出したとみられる個人情報を確認

 日経クロステックが2022年6月中旬以降、国内の組織から流出したとされる個人情報をネット上で確認した件数は10件近い。セキュリティー専門家から情報提供を受けたり、ハッキングフォーラムと呼ばれる種類のWebサイトで実際にデータを見たりして確認した。

 確認した流出データはWebサーバーから窃取したとされ、その多くに「データベースタイプ:SQL」と書かれていた。SQLとはデータベースを制御する言語の1つで、対応するデータベースではSQLの命令文によって格納したデータを取り出す。

 情報を窃取した攻撃方法は「SQLインジェクション」とみられる。細工したSQLの命令文をWebサーバーに送り付けて、データベースに格納されたデータを応答として受け取る攻撃である。

SQLインジェクション攻撃のイメージ図
SQLインジェクション攻撃のイメージ図
(出所:日経NETWORK)
[画像のクリックで拡大表示]

 事実、6月中旬以降にSQLインジェクションもしくはそれに準じた攻撃によって情報が流出した可能性があると発表した国内組織が相次いでいる。

関連記事 相次ぐSQLインジェクション攻撃、矢野研は10万件超の個人情報が漏洩か
Webサーバーからの情報流出の可能性があると発表した組織の例
被害の件数はいずれも最大での数値。
公表日 組織名 被害内容 原因 再発防止策
6月15日 SODA スニーカーフリマサービス「SNKRDUNK」の会員の個人情報275万件超が流出した可能性 不正なリクエストに対して、データベースのデータを含む応答をしていたから WAFの導入、脆弱性診断、監視
6月24日 矢野経済研究所 YRI WEBメンバーとYDB会員のメールアドレスと暗号化されたパスワード約10万2000件が流出した可能性 SQLインジェクション攻撃 脆弱性防御ツールと脆弱性管理ツールの導入
6月28日 名古屋大学 情報システムに関する問い合わせシステムから2000件超のメールアドレスが流出した可能性 SQLインジェクション攻撃 WAFの導入