皆さん、こんにちは。

 

今週のセキュリティ動向では、不正アクセスによる個人情報流出事件を紹介したいと思います。不正アクセスの一般的な手段としては、IDやパスワードを盗用による「なりすまし」、セキュリティ脆弱性を狙った侵入などがあります。個人情報漏洩が発生して、カード情報のような肝心な情報が悪意のあるハッカーに知られた場合、どのように悪用されてしまうのかは想像もつかないですね。最近の事例からわかる不正アクセス事件を分析したり、Webアプリケーションファイアウォールを設置など、不正アクセス対策を準備する必要があります。

 

大阪大学、

不正アクセスで約8万人分の個人情報流出

 

• 事件概要

誰もが、そして何もかもネットワークで繋がれている今は、どのような機関でも情報セキュリティ対策を確と準備しなければなりません。

大阪大学で不正アクセスにより、約8万人分の個人情報が流出される大事件が起こりました。今回の情報漏洩は、システム内に設置された不正プログラムと教職員のIDを利用した不正ログインが原因だそうです。国立情報学研究所では、各大学が活用できる「高等教育機関を対象とする情報セキュリティ対策のためのサンプル規制集」を公開していますが、これからはより強力な情報セキュリティ対策が必要かも知れませんね。

 

• 事件経緯

2017年5月18日∼2017年7月4日;

ー職員のIDとパスワードを使ったシステムへの不正ログインが発生。

ー同時にシステム内部に仕掛けられた不正プログラムによる管理者ID盗難事件発生。この事件により、総6万9549人分の個人情報流出発生。(教職員や元教職員、学生、卒業生の名前やメールアドレス等)

ー漏洩された教職員59人のIDが利用され、学内グループウェアに不正ログイン発生。その結果、以下のメールアドレスに含まれていた学外・学内関係者の個人情報漏洩が総1万1588件発生。

• 流出された学外・学内関係者の個人情報：
• 学外関係者の氏名や電話番号、
• 学外関係者のメールアドレス
• 学外関係者の住所
• 学外関係者の学歴
• 学内関係者の人事情報
• 学内関係者の給与情報(月額報酬料や社会保険料)

ー2017年12月13日：大阪大学、8万人分の個人情報流出が発生したと会見を開いて発表。

 

登山情報サイト「ヤマケイオンライン」、

不正アクセスによって1160件の情報漏洩が発生！

 

• 事件概要

登山情報サイト「ヤマケイオンライン」が外部の不正アクセスにより、1160件の個人情報が流出されました。発表によると、サイト構築・運用の委託先企業が開発した、プログラムに含まれていた脆弱性を狙った「SQLインジェクション」が原因だそうです。事件経緯を説明する前に、この「SQLインジェクション」概念から見てみましょう。

 

SQLインジェクション(SQL Injection)とは？

 

SQLインジェクション(SQL Injection)とは、要するに、SQL（Structured Query Language）というプログラム言語を用いたコマンドを、タゲットになったサイトの脆弱性に対して注入することでデータ変更や、抜き取りなどができるようにするサイバー攻撃の1つです。 SQLインジェクションについてのより詳しい内容とその対策は、下のリンクをクリックしてください。

 

www.pentasecurity.co.jp

•  事件経緯

ー11月29日：サイトの会員がフィッシングメール受信したことを報告を受け調査を開始して個人情報漏洩確認。
ー流出された会員のデータ現状；

• 氏名のみ流出：1154件
• メールアドレスのみ流出：3件
• 氏名とメールアドレス両方流出：1件
• 氏名・アドレスのほか住所や電話番号など登録情報全て流出：2件

ー調査結果、10月31日、11月22日、11月23日の不正アクセス痕跡確認。ただし、10月28日以前に不正アクセス受けたのかどうかは確認不可能だと発表。
ー12月5日：個人情報漏洩の原因が「SQLインジェクション」だと判明し、脆弱性解消。
ー現在、当サイト管理する山と渓谷社では警察署に被害届を提出したほか、自社では情報セキュリティ対策強化を進め再発防止に努める中。

 

医療専門学校の森ノ宮医療学園専門学校 、

サイト改ざん被害で外部サイトへ誘導される

 

• 事件概要

森ノ宮医療学園専門学校のウェブサイトが不正アクセスによって改ざんされ、アクセスすると外部サイトへ誘導される状態だったことがわかりました。同校によると、利用するコンテンツマネジメントシステム(CMS)の「WordPress」が不正アクセス受けたそうです。まずは今回タゲットになってしまったコンテンツマネジメントシステムの概念から見てみましょう。

 

コンテンツマネジメントシステム(CMS)とは？

 

コンテンツマネジメントシステム(CMS)は、ウェブサイトを構成するテキストや画像などの、様々なデジタルコンテンツを効率的に管理するシステムのの総称です。専門的な知識なくても誰でも簡単にウェブサイトを変更・管理ができる点で人気のあるプログラムですが、同時にハッカーにもその脆弱性が知られていて、それを狙ったサイバー攻撃がぞうかしています。コンテンツマネジメントシステムの詳細情報については、下のリンクをクリックしてください。

 

www.pentasecurity.co.jp

 

または、「WordPress」の情報セキュリティ強化のための対策を準備したいという方は、以下のリンクをクリックしてください。

 

www.pentasecurity.co.jp

 

• 事件経緯

ー利用するコンテンツマネジメントシステム（CMS）の 「WordPress」が不正アクセスにより、サイトの内容が書き換えられ、架空のタイヤ販売サイトへ誘導された状態だったことが判明。

ー12月1日17時~12月8日12時：今回の改ざんを確認し、同サイトを停止。以降、攻撃を受けたサーバは閉鎖。現在は新たなサーバへ移行し、サイト再開。

ー同校では今回の不正アクセスによる情報漏洩については否定中。

 

 

 

参考記事≫

1. 阪大、不正アクセスで個人情報約8万件流出か 管理者ID盗まれた可能性 : ITmedia NEWS

2. 高等教育機関における情報セキュリティポリシー策定について:NII国立情報学研究所

3.「山と渓谷」サイトに不正アクセス、1160件の個人情報が流出：ITPRO

4. CMS利用のサイトが改ざん被害、外部サイトへ誘導- 医療専門学校 : Security NEXT