発表内容
【経緯及び状況】
- 5月21日、弊社がサーバー業務を委託している業者から、弊社「積水ハウスNetオーナーズクラブ」のアクセス数が急激に増加し、高負荷の状況が続いているとの連絡を受けました。
- 調査を行った結果、2008年~2011 年に実施したフォトギャラリーで使用し、現在は運用していないページでセキュリティ設定に不備があり、データベースを操作するための言語を用いたサイバー攻撃を受けたことにより、当該サイトのデータベースからお客様のメールアドレス・ログインID・パスワード及び積水ハウスグループ従業員等のメールアドレスと弊社システムへのログイン時に使用するパスワードが漏えいしたことがわかりました。
- 当該サイトは5月23日午前中に運用を停止し、現在はアクセスできない状態です。
- 本件に関しては、弊社より個人情報保護委員会への報告と警察への相談を行うとともに、お客様に順次、ご連絡を開始しております。
【お客様情報について】
- 対象範囲:積水ハウスNetオーナーズクラブ会員として弊社が取得したお客様情報
- 項目:メールアドレス・ログインID・パスワード
- 漏えいした人数:108,331人
- 漏えいの可能性を否定できない人数:464,053人
【従業員等情報について】
- 対象範囲:現在または過去に在籍していた積水ハウスグループ従業員・協力会社スタッフ情報
- 項目:メールアドレス・パスワード
- 漏えいした人数:183,590人
- 漏えいの可能性を否定できない人数:72,194人
【お客様へのお願い】
不正ログインを防止するため、当該サイトをご利用のお客様で、他社WEBサイト等でも同じパスワードを使用されている場合は、他社WEBサイトでのパスワードをご変更くださいますよう、お願い申し上げます。本件に関してご心配やご不明な点がございましたら、専用窓口を設けておりますのでお問い合わせいただけますようお願い申し上げます。
考察(原因・対策等)
考えられる原因
直接的な原因はSQLインジェクション攻撃と推察される。
間接的な原因としては、下記が挙げられる。
- 使用していないサーバ、システムが稼働していたこと
- パスワードが平文(暗号化せず)にデータベースに保存されていたこと
- 公開システムと社内システムが同一ネットワークになっている可能性があること
考えられる対策
対策としては下記が考えられる。
- SQLインジェクション対策として、ユーザが入力した文字列を適切にエスケープ処理を行うことや、プリペアドステートメントを使用し、パラメータとクエリを分離したシステムにすること。
- 稼働しているシステムの棚卸を実施し、不要なシステムについては停止する。
- パスワードは暗号化してデータベースに保存する。
- 多要素認証の導入し、認証プロセスを強化することで不正アクセスを予防する。
未然に防ぐために
今回の積水ハウスの事例について、個人的には学ぶべきことは多いと思っている。
使用していないと思っていたシステムから攻撃されたこと。SQLインジェクションによりデータの搾取されたこと、さらには他のシステムにも侵入されていること。パスワードがそのまま保存されていたことなど1つのほころびから大きな影響にまでつながっている。
ただし、やはり大企業です。普段からアクセスログを取得、監視されていたのでしょう。5月21日にアクセス数が急増を把握し5月23日午前にシステム停止、5月24日に公表という流れです。この短い日数での対応は多くの企業では無理でしょう。多くの企業ではサーバへのアクセスログを取得や監視をしていないと思いますし、そもそも攻撃されても気が付かない企業が多いでしょう。
気が付けたというだけでもさすがの大企業ということだと思います。