全1414文字
PR

著名なセキュリティーリサーチャーのpiyokango氏が注目のシステムトラブルをピックアップ。今週の注目ネタは……。

 今回は、次のトピックを取り上げる。矢野経済研究所のWebサイトと名古屋大学の問い合わせシステムへのSQLインジェクション攻撃、ヒューマンエージェントへの不正アクセスである。

メールアドレスと暗号化されたパスワードが対象

 矢野経済研究所は2022年6月24日、同社のWebサイトへの不正アクセスによって個人情報が漏洩した可能性があると発表した。

SQLインジェクション攻撃によって個人情報が流出した可能性があるとして謝罪
SQLインジェクション攻撃によって個人情報が流出した可能性があるとして謝罪
(出所:矢野経済研究所)

 同社は2022年6月13日、取引先から情報流出の可能性について問い合わせを受けて、外部のセキュリティー会社と調査を開始。6月6日に「www.yano.co.jp」と「www.yanoresearch.com」の2つのサイトがSQLインジェクション攻撃を受けたと判明した。攻撃により、同社のメールサービスや調査資料閲覧サービスの会員の個人情報が流出した可能性がある。

 流出した可能性のある会員の個人情報はメールアドレスと暗号化されたパスワードで、対象は最大10万1988件。クレジットカード情報は保有していないため、流出していない。再発防止策として、脆弱性防御ツールと脆弱性管理ツールの導入を進め、追加の対策も検討・実施していくとしている。

 筆者は、同社から流出したメールアドレスとパスワードであると主張するデータが、海外のハッキングフォーラムで公開されていることを確認した。この件について、同社は日経クロステックの取材に対して、「公表している内容以上の回答を差し控える」とした。

(矢野経済研究所の発表資料)