人材派遣のアスカが最大3万件の個人情報を流出…1カ月以上も周知せず
7/13(月) 6:15(略)
■アスカはどのように情報流出したのか
アスカによると、同社が受けたのは「SQLインジェクション」と呼ばれるサイバー攻撃の可能性が高い。
「SQLインジェクション」の「SQL」とは、データベースを操作するためのコンピューター言語のことで、「インジェクション」は「注入」を指す。不正な指令や操作をデータベースに注入し、データベースの情報を盗み出したり、利用者の端末にウイルスを感染させたりすることを目的とする。
SQLインジェクションによる個人情報流出は過去にも発生しており、2011年にはソニーの運営するゲーム用サービス「PlayStation Network」において、外部からの攻撃により7700万件以上の個人情報が流出。過去最大級の情報流出事件とされた。この事件で流出した個人情報もメールアドレス、住所、氏名、パスワードなどだった。
2015年には菓子メーカーのシャトレーゼもSQLインジェクションを受け、約21万人のユーザーIDやパスワード、電話番号などの個人情報が流出した。
■SQLインジェクションは古典的な攻撃方法
インターネットセキュリティに詳しいITジャーナリストの三上洋氏はSQLインジェクションについて「攻撃がSQLインジェクションによるものであれば、データベースの設計に甘さがあった可能性は否定できない」と説明する。
アスカのシステム担当者によれば、SQLインジェクションは「かなり古風な手法」。「HPのセキュリティ面は外注のサービスに一任しており、SQLインジェクションによる攻撃は当然対策されているものだという思い込みがあったため、SQLインジェクションに対する対策の有無は確認したことがなかった」という。
また、アスカへのサイバー攻撃の直後、インターネット上の掲示板には犯行声明とみられる投稿があった。「SQL、3万件以上ありました」という文言とともに、個人情報が記載されたファイルがアップロードされた。
(略)
https://news.yahoo.co.jp/articles/7a9b6fbd340df0f908d16ab9b6a1990074f2bc00&page=2
- エスケープ処理くらいしておけ
- あんたバカ
- チャゲの仕業
- それ以前になんてわそんなデータベースを外に繋げてたんだ
よそから見る必要なんてないだろ - >>5
わかってない奴発見 - >>5
そういうものではないな - >>5
そんな意識だからエスケープも知らないんだと思うしかしま、まさかこのご時世こんなお粗末なシステムがあるとは思わなかった
- >>5
えっ?外部接続なしで会員登録サイトを!? - >>12
営業「できらぁ!」 - >>5
登録者のデータ自体が売り物
派遣会社は従業員を奴隷としか思ってない - >>25
奴隷じゃないよ商材だよ - 犯人はギフハブ
- 自信があるから電話はしません!
つってたアスカとは別なんかえ
社長がCM出てて、寺門ジモンが乗り移った今でしょ!の林先生みたいな顔の - ギフハブの鯖落ちはこのためだったのか!!
- 注射とかゴトかよwww
- いつの時代だよw
- 「インターネット上の掲示板には犯行声明とみられる投稿があった。」
↑
5ちゃんねらーは犯罪者だ
おまえらは、犯罪者予備軍だぞ? - >>15
またハセカラ民の悪戯かもねこれ - 自信があります
- 自信があるからお電話は一切いたしません!!
- うんこセキュリティに高い保守料払ってたんだろなー
- 2FAも知らなかった自称IT企業の社長もいたな
セブンペイだっけwどこに飛ばされちゃったのかな
- 昭和かよ
- 今時そんなことあるんだ
- 今どき基本的で必須なセキュリティ対策なのですが
- 5chでさえSQLインジェクションのチェック用クエリ書き込もうとするとセキュリティで弾かれるというのに…
- 派遣の情報なんか知って何のメリットがあるの?
百貨店の外商顧客リスト盗むならわかるけどさ
- 基礎の基礎の基礎なのに
- 派遣はくたばれ
- 自分自身に「あんたバカァ?」
- SQL文まるごと引数で受け取って実行しちゃうアレだっけ?
- >>33
検索ワードをsqlとして受け取るって方がしっくり来るんかな
例えば検索窓に
田中太郎 or A=A
こんなのを入力するとか(or以降により判定が全て真となり全部ぶっこ抜かれる) - 2月2日 アスカ五郎を殺したのは貴様か!?
- と40歳児無職が申しております
- 同業他社が、奴隷派遣の引き抜き用かな?w
馬鹿な派遣社員がまだまだ沢山居るお陰で竹中は笑いが止まらんだろなw
【脆弱性】人材派遣のアスカ SQLインジェクション攻撃され個人情報流出 アスカ「SQLi対策の確認したことなかった」
ニュー速+
コメント