# 積水ハウス 個人情報流出 SQL インジェクション攻撃か

データは常に狙われている、個人情報は大事！2024 年 5 月 24 日積水ハウスがサイバー攻撃を受けたことを報告しました。不正ログインを防ぐため、ほかのサイトで同じパスワードを使っている場合は、変更するよう同社は求めました。
住宅オーナー様等向けの会員制サイトにサイバー攻撃を受けたことによるお客様情報等の外部漏えいについて (opens new window)

# 積水ハウス Net オーナーズクラブとは

「Net オーナーズクラブ」はインターネットを通じて、当社戸建住宅にお住まいの方とのコミュニケーションを継続していくシステムです。 暮らしに関わるさまざまな情報を提供したり、お客様からのリフォームや庭づくりなどの相談をお受けしています。

Net オーナーズクラブ - 積水ハウス (opens new window)

# 情報漏洩の経緯とその後の対応

• 5 月 21 日 サーバー委託業者から「積水ハウス Net オーナーズクラブ」のアクセス数が急激に増加し、高負荷の状況が続いているとの連絡を受けた
• サイバー攻撃を受け、顧客及び従業員のメールアドレス・ログイン ID・パスワードが漏洩
• 5 月 23 日 午前中に運用を停止
• その後、個人情報保護委員会への報告と警察への相談をした
• 5 月 24 日に「お客様情報等の外部漏えいについて (opens new window)」公表
• 5 月 28 日にホームページ公表
• 6 月 6 日「よくいただくご質問と回答 (opens new window)」公開

# 影響範囲

• 顧客情報: 漏えいした人数：108,331 人 漏えいの可能性を否定できない人数：464,053 人
• 従業員等情報: 漏えいした人数：183,590 人 漏えいの可能性を否定できない人数：72,194 人

顧客情報で約 56 万件、従業員は約 26 万件のメールアドレスとパスワード情報が漏洩されたようです。氏名、生年月日、住所などの情報漏洩があるかどうか心配ですが、今のところは同社のものと思わせるメールアドレスとパスワードのセットが販売されています。

# 情報漏洩の原因と問題点

# 1. セキュリティシステムの脆弱性

使用されていない過去のページがセキュリティホールとなり、攻撃者に利用されました。恐らく SQL インジェクション攻撃によってデータベースアクセスができたと見られます。

# 2. パスワードがハッシュ化されていない

顧客および従業員のパスワードがパスワードが平文で保存され、ハッシュ化されていない可能性があります。

# 3. 利用停止のサービスの放置

旧システムが放置され、最新のセキュリティ対策が施されていない状態でインターネットに公開されています。

# 4. 内部管理の不備

サイバー攻撃を 21 日に発覚し、23 日に運用停止を決定するまで 2 日かかったことは迅速対応とは言えません。

# 自分なりに対策を考えた

• 入力バリデーションをする
  SQL インジェクションやクロスサイトスクリプティング（XSS）などの攻撃の入り口から制御

• パスワードのハッシュ化
  パスワードを保存する際には、SHA-256 や bcrypt などの安全なハッシュアルゴリズムを使用する

• 古いシステムやページを定期点検
  使用されなくなった古いシステムやページをアクセス制限、削除など定期的に点検する

• 監視システム導入
  高負荷状態が続いた場合、リアルタイム監視システムを用いて検知と通知を行う

• WAF（Web Application Firewall）導入
  WAF を使って Web アプリケーションへの攻撃を防御

• 迅速対応
  サーバー攻撃を受けた際にサービースの停止と点検を優先に行う

# 参考

• 2024 年 5 月 24 日 住宅オーナー様等向けの会員制サイトにサイバー攻撃を受けたことによるお客様情報等の外部漏えいについて (opens new window)
• 2023 年 11 月 28 日 積水ハウスが顧客情報漏洩、BIPROGY の設定不備が原因 (opens new window)
• 2023 年 ４月 28 日 「一部のメールデータが流出した可能性」に関するお知らせ (opens new window)