# 積水ハウス SQL インジェクション攻撃による個人情報漏洩

データは常に狙われている、個人情報は大事!2024 年 5 月 24 日積水ハウスがサイバー攻撃を受けたことを報告しました。
住宅オーナー様等向けの会員制サイトにサイバー攻撃を受けたことによるお客様情報等の外部漏えいについて (opens new window)

# 積水ハウス Net オーナーズクラブとは

「Net オーナーズクラブ」はインターネットを通じて、当社戸建住宅にお住まいの方とのコミュニケーションを継続していくシステムです。 暮らしに関わるさまざまな情報を提供したり、お客様からのリフォームや庭づくりなどの相談をお受けしています。

Net オーナーズクラブ - 積水ハウス (opens new window)

# 情報漏洩の経緯

  • 5 月 21 日 サーバー委託業者から「積水ハウス Net オーナーズクラブ」のアクセス数が急激に増加し、高負荷の状況が続いているとの連絡を受けた
  • サイバー攻撃を受け、顧客及び従業員のメールアドレス・ログイン ID・パスワードが漏洩
  • 5 月 23 日 午前中に運用を停止
  • その後、個人情報保護委員会への報告と警察への相談をした

# 影響範囲

  • 顧客情報: 漏えいした人数:108,331 人 漏えいの可能性を否定できない人数:464,053 人
  • 従業員等情報: 漏えいした人数:183,590 人 漏えいの可能性を否定できない人数:72,194 人

顧客情報で約 56 万件、従業員は約 26 万件のメールアドレスとパスワード情報が漏洩されたようです。氏名、生年月日、住所などの情報漏洩があるかどうか心配ですが、今のところは同社のものと思わせるメールアドレスとパスワードのセットが販売されています。

# 情報漏洩の原因と問題点

# 1. セキュリティシステムの脆弱性

使用されていない過去のページがセキュリティホールとなり、攻撃者に利用されました。恐らく SQL インジェクション攻撃によってデータベースアクセスができたと見られます。

# 2. パスワードがハッシュ化されていない

顧客および従業員のパスワードがパスワードが平文で保存され、ハッシュ化されていない可能性があります。

# 3. 利用停止のサービスの放置

旧システムが放置され、最新のセキュリティ対策が施されていない状態でインターネットに公開されています。

# 4. 内部管理の不備

サイバー攻撃を 21 日に発覚し、23 日に運用停止を決定するまで 2 日かかったことは迅速対応とは言えません。

# 自分なりに対策を考えた

  • 入力バリデーションをする
    SQL インジェクションやクロスサイトスクリプティング(XSS)などの攻撃の入り口から制御

  • パスワードのハッシュ化
    パスワードを保存する際には、SHA-256 や bcrypt などの安全なハッシュアルゴリズムを使用する

  • 古いシステムやページを定期点検
    使用されなくなった古いシステムやページをアクセス制限、削除など定期的に点検する

  • 監視システム導入
    高負荷状態が続いた場合、リアルタイム監視システムを用いて検知と通知を行う

  • WAF(Web Application Firewall)導入
    WAF を使って Web アプリケーションへの攻撃を防御

  • 迅速対応
    サーバー攻撃を受けた際にサービースの停止と点検を優先に行う

# 参考

2024-05-25
  • server

関連記事

ZeroSSL で無料 SSL できるけど Let's Encrypt と比較
ジェネレーティブ AI と大規模言語モデル(LLM)を学ぶためのリソース
XZ Utils 事件対応
Ubuntu で Web サーバーを構築する手順
メールサーバー移行と POP & IMAP 設定
Docker Supervisor 使ってバッチ処理
よく使う WSL コマンド
自宅サーバー構築!  Nextcloud で NAS クラウドストレージ
no such file or directory: /usr/share/zsh/vendor-completions/_docker
oh my zsh 使うべし
AWS CloudWatch ログ監視で Lambda 処理
AWS SES メール開封確認  DB に集計
Vim 操作とショートカット
DDNS 無料ダイナミック DNS サービス 4 つ
Nginx 基本設定
SPF メール送信なりすまし対策
Windows Mac Linux hosts ファイル場所
AWS Unresolved resource dependencies [AWSEBV2LoadBalancer] エラー
ディスク容量を確認する df コマンド
Laravel Address already in use の原因
content-security-policy 設定
AWS Elastic Beanstalk php.ini 設定変更
AWS Elastic Beanstalk 環境設定
AWS のタイムゾーンを UTC 協定世界時から JST 日本標準時に変更
Docker の基本的な使い方
Amazon DynamoDB 制限調査
AWS 504 Gateway Timeout エラー対応
Shell と Bash のいろいろ
Mac ターミナル SSH 接続設定
Elastic Beanstalk \$\SERVER['REMOTEADDR'] 取得できない
crontab 設定いろいろ
AWS EC2 の amazon-linux-extras の話
デプロイツール Capistrano
解決! xserver php バージョンアップした時に ssh 環境に反映されない
youtube 見れるように vpn サーバー建ててみた
xserver に vim インストール
xserver に nodejs インストール
レンタルサーバーなら xserver おすすめ理由
Docker command でドッカー練習する時のメモ
Windows10 Home に Docker 入れた時のメモ
Centos7 Webserver 構築の時のメモ