WEBサイトに係るサーバにSQLインジェクション攻撃、DBから63,656人分の個人情報流出の可能性(釣りビジョン) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2019.07.19(金)

WEBサイトに係るサーバにSQLインジェクション攻撃、DBから63,656人分の個人情報流出の可能性(釣りビジョン)

株式会社釣りビジョンは1月25日、同社が提供するWEBサイトに係るサーバに第三者からの不正アクセスがあり情報流出が流出した可能性があることが判明したと発表した。

インシデント・事故 インシデント・情報漏えい
株式会社釣りビジョンは1月25日、同社が提供するWEBサイトに係るサーバに第三者からの不正アクセスがあり情報流出が流出した可能性があることが判明したと発表した。

これは2018年10月28日から2019年1月7日にかけて、WEBサイトに係るサーバに第三者からSQLインジェクション攻撃による不正アクセスが行われ、DBサーバ内にアクセスできる状態となり個人情報が不正取得されたというもの。

2019年1月5日に、WEBサーバおよびDBサーバの保守と管理を委託している会社から同社に、サーバの異常を検知したという報告があり、社内で調査を実施したところ、通常では想定できない大量のアクセスを確認し、同月7日に委託先会社にてアクセスログに関する詳細な調査を依頼、その結果、脆弱性診断ツールを悪用した攻撃により第三者から同社のWEBサーバへ海外から不正アクセスされた形跡を確認し、個人情報流出の可能性が判明した。

同社では1月7日に、被害拡大防止のために該当のIPのブロックとWEBサーバの脆弱性を修正、不正アクセスの全容解明と被害状況の把握のために、社内調査と並行して、外部の専門調査会社に依頼し調査を実施したところ、1月18日に顧客の個人情報が流出した疑いを確認。なお今回の対象となったサイト以外のWEBやデータの改ざん等の被害は無かったとのこと。

1月24日に、不正アクセスされた複数のDBに存在する顧客情報の流出したデータの特定が完了した。

今回、流出した個人情報は「釣りビジョン」の視聴契約に関わるDBは含まれておらず、2006年以降のプレゼント応募や番組人気投票等、ホームページ上で入力した情報のDBに保存されていた63,656人が対象となっており、その内訳は下記の通り。

メールアドレスのみ:51,345人
メールアドレス+氏名:7,629人
メールアドレス+氏名+住所:4,682人

同社では情報流出対象の顧客に、メールにて謝罪の連絡を実施し、個人情報保護センターと総務省にも報告済み。
また不正アクセスによる情報流出を防ぐために、不正アクセスのあったDB情報の削除、個人情報を取得するフォームの一時的な閉鎖を現時点で行っている。

同社では今後、情報セキュリティインフラの整備と強化を図り、ネットワーク上のふるまい検知などの新技術を利用した不正侵入対策の導入を進め再発防止に努める。
《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊20年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×