# 積水ハウス SQL インジェクション攻撃による個人情報漏洩

データは常に狙われている、個人情報は大事！2024 年 5 月 24 日積水ハウスがサイバー攻撃を受けたことを報告しました。
住宅オーナー様等向けの会員制サイトにサイバー攻撃を受けたことによるお客様情報等の外部漏えいについて (opens new window)

# 積水ハウス Net オーナーズクラブとは

「Net オーナーズクラブ」はインターネットを通じて、当社戸建住宅にお住まいの方とのコミュニケーションを継続していくシステムです。暮らしに関わるさまざまな情報を提供したり、お客様からのリフォームや庭づくりなどの相談をお受けしています。

Net オーナーズクラブ - 積水ハウス (opens new window)

# 情報漏洩の経緯

5 月 21 日サーバー委託業者から「積水ハウス Net オーナーズクラブ」のアクセス数が急激に増加し、高負荷の状況が続いているとの連絡を受けた
サイバー攻撃を受け、顧客及び従業員のメールアドレス・ログイン ID・パスワードが漏洩
5 月 23 日午前中に運用を停止
その後、個人情報保護委員会への報告と警察への相談をした

# 影響範囲

顧客情報: 漏えいした人数：108,331 人漏えいの可能性を否定できない人数：464,053 人
従業員等情報: 漏えいした人数：183,590 人漏えいの可能性を否定できない人数：72,194 人

顧客情報で約 56 万件、従業員は約 26 万件のメールアドレスとパスワード情報が漏洩されたようです。氏名、生年月日、住所などの情報漏洩があるかどうか心配ですが、今のところは同社のものと思わせるメールアドレスとパスワードのセットが販売されています。

# 情報漏洩の原因と問題点

# 1. セキュリティシステムの脆弱性

使用されていない過去のページがセキュリティホールとなり、攻撃者に利用されました。恐らく SQL インジェクション攻撃によってデータベースアクセスができたと見られます。

# 2. パスワードがハッシュ化されていない

顧客および従業員のパスワードがパスワードが平文で保存され、ハッシュ化されていない可能性があります。

# 3. 利用停止のサービスの放置

旧システムが放置され、最新のセキュリティ対策が施されていない状態でインターネットに公開されています。

# 4. 内部管理の不備

サイバー攻撃を 21 日に発覚し、23 日に運用停止を決定するまで 2 日かかったことは迅速対応とは言えません。

# 自分なりに対策を考えた

入力バリデーションをする
SQL インジェクションやクロスサイトスクリプティング（XSS）などの攻撃の入り口から制御
パスワードのハッシュ化
パスワードを保存する際には、SHA-256 や bcrypt などの安全なハッシュアルゴリズムを使用する
古いシステムやページを定期点検
使用されなくなった古いシステムやページをアクセス制限、削除など定期的に点検する
監視システム導入
高負荷状態が続いた場合、リアルタイム監視システムを用いて検知と通知を行う
WAF（Web Application Firewall）導入
WAF を使って Web アプリケーションへの攻撃を防御
迅速対応
サーバー攻撃を受けた際にサービースの停止と点検を優先に行う

# 参考

2024 年 5 月 24 日住宅オーナー様等向けの会員制サイトにサイバー攻撃を受けたことによるお客様情報等の外部漏えいについて (opens new window)
2023 年 11 月 28 日積水ハウスが顧客情報漏洩、BIPROGY の設定不備が原因 (opens new window)
2023 年４月 28 日「一部のメールデータが流出した可能性」に関するお知らせ (opens new window)

2024-05-25 23日前

server

ZeroSSL で無料 SSL できるけど Let's Encrypt と比較

SSL無料証明書はLets Encrypt以外にZeroSSLも一つの選択として存在します。...

ジェネレーティブ AI と大規模言語モデル（LLM）を学ぶためのリソース

ChatGPTに惹かれてLLM勉強をはじめました。第１歩英語記事を日本語に翻訳して資料を集める編...

XZ Utils 事件対応

バックドアを利用してssh経由でリモートから侵入する悪意がある XZ Utils メンテナンスについ...

Ubuntu で Web サーバーを構築する手順

UbuntuでWebサーバーを構築する手順についてのメモ...

メールサーバー移行と POP & IMAP 設定

メールサーバーを別のサーバーへ引っ越し作業があったので、資料まとめました。...

Docker Supervisor 使ってバッチ処理

Amazon ECS Dockerfile に Supervisor でプロセス管理します。Lara...

よく使う WSL コマンド

Windows WSL インストールして本物のLinux環境をWindowsで楽しめる Ubuntu...

自宅サーバー構築！　 Nextcloud で NAS クラウドストレージ

NAS 自宅ストレージサーバーをNextcloudで自作するまで、大容量で安全安心のローカルマシンに...

no such file or directory: /usr/share/zsh/vendor-completions/_docker

wslのUbuntuにzshインストールして使ってますが、突然にwarning errorになったた...

oh my zsh 使うべし

カラフルでコマンドがわかりやすいzshが使いやすいので、zshとoh my zshのインストールにつ...

AWS CloudWatch ログ監視で Lambda 処理

Cloudwatch ログ監視して Lambda 処理でチャットワーク送信したり、カスタマイズ処理を...

AWS SES メール開封確認　 DB に集計

メール送信の開封確認して DB更新するために使う AWS サービス SES SNS LAMBDA と...

Vim 操作とショートカット

Linux OS なら Vim 知らない人はいないくらい高性能エディター Vim の各種コマンドシ...

DDNS 無料ダイナミック DNS サービス 4 つ

国内外にあるDDNS無料サービス4つについて調べました。制限の少ないDDNS Nowはいい評判な理由...

Nginx 基本設定

ウェブサーバーNginxの基本設定、バーチャルホスト、ベース認証、SSL設定について...

SPF メール送信なりすまし対策

メール送信なりすまし対策フィッシング詐欺対策に SPF レコードを追加して簡単に送信元IPアドレス認...

Windows Mac Linux hosts ファイル場所

windows hosts mac hosts と linux hostsファイル場所とhostsの...

AWS Unresolved resource dependencies [AWSEBV2LoadBalancer] エラー

aws ELBデプロイでUnresolved resource dependencies AWSEB...

ディスク容量を確認する df コマンド

サーバーのディスク容量確認する dfコマンドの使い方について dfコマンドの...

Laravel Address already in use の原因

laravel artisan serve したら Failed to listen on 127....

content-security-policy 設定

Content-Security-Policy 設定でエラー解消するためにnetlify conte...

AWS Elastic Beanstalk php.ini 設定変更

configファイル使って aws php post_max_size upload_max_fil...

AWS Elastic Beanstalk 環境設定

amazon EB Elastic Beanstalkデフォルト設定と環境プロパティについて...

AWS のタイムゾーンを UTC 協定世界時から JST 日本標準時に変更

AWSの時間が９時間ずれる！UTCからAsia/Tokyo JSTに変更...

Docker の基本的な使い方

環境統一作業効率で使われるDockerfileなど、さくらナレッジの記事を読んで改めてDockerの...

Amazon DynamoDB 制限調査

AWS DynamoDB制限について調べたが、容量制限がアイテムあたり400KBでリクエスト制限もあ...

AWS 504 Gateway Timeout エラー対応

AWSロードバランサー利用して504エラー発生、504の原因と対応を調査してまとめました。...

Shell と Bash のいろいろ

ShellとBashの違いと歴史について学習しました。カラフルにBash使うためにGit Bash使...

Mac ターミナル SSH 接続設定

Mac SSH 接続方法とSSHの歴史、各種設定など。Macターミナルでssh接続は以外と便利で使い...

Elastic Beanstalk \$\SERVER['REMOTEADDR'] 取得できない

ELBで php ユーザーIP取得できなかったので、AWSのセキュリティとロードバランサーについて学...

crontab 設定いろいろ

crontabコマンドとオプションなどの細かい設定いろいろまとめ...

AWS EC2 の amazon-linux-extras の話

Amazon linux2 EC2 インスタンスのパッケージ管理ツール amazon-linux-e...

デプロイツール Capistrano

Capistrano とはデプロイ自動化ツール PHPプロジェクトをAWS Beanstalk に自...

解決! xserver php バージョンアップした時に ssh 環境に反映されない

xserverのphp5から7にアップした時にssh環境ではバージョン5のままでした。...

youtube 見れるように vpn サーバー建ててみた

自己研究用にCentOSにvpnサーバー建ててyoutube見ました。...

xserver に vim インストール

viから脱出してxserverのvim設定...

xserver に nodejs インストール

nodebrewツール使うと誰でもできるレンタルサーバー・エックスサーバーにnodejsインストール...

レンタルサーバーなら xserver おすすめ理由

レンタルサーバーのxserverの評価はどう？って思うエンジニアからみるxserverと愛用する理由...

Docker command でドッカー練習する時のメモ

docker使ってコンテナ操作イメージ操作など、秒単位でウェブサーバー立ち上げると気持ち爽快！doc...

Windows10 Home に Docker 入れた時のメモ

windows homeでもdocker使えます。windows proしかdocker入らないと思...

Centos7 Webserver 構築の時のメモ

centos7にphp apacheのウェブサーバー構築、リポジトリ作成してnginx nodejs...