piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

運用終了したページがSQLインジェクション攻撃を受けた事案についてまとめてみた

2024年5月24日、積水ハウスは同社が運用する住宅購入者向けの会員制Webサイトがサイバー攻撃を受け、顧客情報などが流出したと公表しました。ここでは関連する情報をまとめます。

被害ページは運用終了から13年公開継続

  • 不正アクセスの被害にあったのは、積水ハウスが戸建てやマンションの住宅購入者向けに提供している会員制サイト「積水ハウスNetオーナーズクラブ」。同サイト上で過去に使用していたページが残っており、このページが攻撃を受け登録者の情報などが流出した。
  • 攻撃を受けたページは2008年から2011年の4年間、フォトギャラリーとして使用していたもの。当該ページの状況について、同社の広報担当者は当該ページへの動線は存在しないこと、検索エンジンにも引っかからないことより、URLを直接入力しないと接続できない状況にあったと取材に説明。アクセス自体が可能な状態と認識はあったが、使用していないことからメンテナンスを行っていなかった。*1
  • 攻撃の事実について、同社は同サイトのアクセス数が急増し、高負荷の状況が継続しているとサーバー管理の業務委託先事業者から報告を受け調査した結果発覚した。*2当該ページが受けた攻撃の種類はSQLインジェクションで、同社はセキュリティ設定の不備が原因であったと説明する。攻撃の結果、データベースよりNetオーナーズクラブ会員として同社が取得していた顧客情報や従業員等の情報が流出した。さらにNet オーナーズクラブが2003年に開設されて以降取得されている全ての顧客などの情報も流出した可能性が否定できないとして対象件数を計上している。*3 それぞれの件数等の詳細は次の通り。
対象 流出確定件数 流出可能性件数 該当項目
Netオーナーズクラブ会員として取得された顧客 108,331人 464,053 人 メールアドレス、ログインID、パスワード
現在または過去在籍していた従業員・協力会社スタッフ 183,590 人 72,194 人 メールアドレス・積水ハウスのシステムログイン用のパスワード
  • 影響を受けた項目にパスワードが含まれているため、同社では他社サイト上で同じパスワードを利用している場合は変更するよう呼びかけを行っている。一方でデータベース上に保存されていたパスワードが平文であったかについて、取材への回答は行わなかった。*4 なお、流出した情報に関係する被害報告は公表を行った24日までに受けていないとしている。
  • 攻撃を受け、同社は攻撃を受けたオーナーズクラブの公開を停止。また個人情報保護員会への報告、警察への被害相談、対象の顧客等への連絡を順次行っている。また当該事案に関する専用の窓口を設け問い合わせなどに対応する。
攻撃を受け運用を停止したNet オーナーズクラブのサイト(2024年5月28日の状況)

関連タイムライン

日時 出来事
2008年~2011年 被害にあったページ(フォトギャラリー)を運用していた期間。
2024年5月21日 管理委託先事業者から積水ハウスへ高負荷発生について連絡。
積水ハウスが調査したところ、不正アクセスの被害にあっていたことが判明。
2024年5月23日午前 積水ハウスが被害サイトの公開を停止。
2024年5月24日 不正アクセスによる情報流出について公表。

更新履歴

  • 2024年5月28日 PM 新規作成