【脆弱性】人材派遣のアスカ SQLインジェクション攻撃され個人情報流出 アスカ「SQLi対策の確認したことなかった」

1 : 2020/07/14(火) 15:08:23.07 ID:NqK4lbtf9

人材派遣のアスカが最大3万件の個人情報を流出…1カ月以上も周知せず
7/13(月) 6:15

(略)

■アスカはどのように情報流出したのか

 アスカによると、同社が受けたのは「SQLインジェクション」と呼ばれるサイバー攻撃の可能性が高い。

 「SQLインジェクション」の「SQL」とは、データベースを操作するためのコンピューター言語のことで、「インジェクション」は「注入」を指す。不正な指令や操作をデータベースに注入し、データベースの情報を盗み出したり、利用者の端末にウイルスを感染させたりすることを目的とする。

 SQLインジェクションによる個人情報流出は過去にも発生しており、2011年にはソニーの運営するゲーム用サービス「PlayStation Network」において、外部からの攻撃により7700万件以上の個人情報が流出。過去最大級の情報流出事件とされた。この事件で流出した個人情報もメールアドレス、住所、氏名、パスワードなどだった。

 2015年には菓子メーカーのシャトレーゼもSQLインジェクションを受け、約21万人のユーザーIDやパスワード、電話番号などの個人情報が流出した。

■SQLインジェクションは古典的な攻撃方法

 インターネットセキュリティに詳しいITジャーナリストの三上洋氏はSQLインジェクションについて「攻撃がSQLインジェクションによるものであれば、データベースの設計に甘さがあった可能性は否定できない」と説明する。

 アスカのシステム担当者によれば、SQLインジェクションは「かなり古風な手法」。「HPのセキュリティ面は外注のサービスに一任しており、SQLインジェクションによる攻撃は当然対策されているものだという思い込みがあったため、SQLインジェクションに対する対策の有無は確認したことがなかった」という。

 また、アスカへのサイバー攻撃の直後、インターネット上の掲示板には犯行声明とみられる投稿があった。「SQL、3万件以上ありました」という文言とともに、個人情報が記載されたファイルがアップロードされた。

(略)

https://news.yahoo.co.jp/articles/7a9b6fbd340df0f908d16ab9b6a1990074f2bc00&page=2

2 : 2020/07/14(火) 15:09:04.57 ID:56gwDX7Z0
エスケープ処理くらいしておけ
3 : 2020/07/14(火) 15:09:06.84 ID:4bl+W7or0
あんたバカ
4 : 2020/07/14(火) 15:09:37.50 ID:EGk346+I0
チャゲの仕業
5 : 2020/07/14(火) 15:10:27.50 ID:WITk1vkN0
それ以前になんてわそんなデータベースを外に繋げてたんだ
よそから見る必要なんてないだろ
6 : 2020/07/14(火) 15:11:38.67 ID:sPbGDiob0
>>5
わかってない奴発見
7 : 2020/07/14(火) 15:11:51.76 ID:RmZeY00Y0
>>5
そういうものではないな
11 : 2020/07/14(火) 15:13:14.78 ID:sCNd7aLY0
>>5
そんな意識だからエスケープも知らないんだと思う

しかしま、まさかこのご時世こんなお粗末なシステムがあるとは思わなかった

12 : 2020/07/14(火) 15:13:55.36 ID:2od3LoR10
>>5
えっ?外部接続なしで会員登録サイトを!?
27 : 2020/07/14(火) 15:25:45.72 ID:O6+dlsso0
>>12
営業「できらぁ!」
25 : 2020/07/14(火) 15:22:55.96 ID:KsKnUOfr0
>>5
登録者のデータ自体が売り物
派遣会社は従業員を奴隷としか思ってない
28 : 2020/07/14(火) 15:25:54.19 ID:Uhx8YK9g0
>>25
奴隷じゃないよ商材だよ
8 : 2020/07/14(火) 15:12:03.31 ID:JWRbsMq30
犯人はギフハブ
9 : 2020/07/14(火) 15:12:14.71 ID:rr54jzNr0
自信があるから電話はしません!
つってたアスカとは別なんかえ
社長がCM出てて、寺門ジモンが乗り移った今でしょ!の林先生みたいな顔の
10 : 2020/07/14(火) 15:13:13.50 ID:QYDZr+Ld0
ギフハブの鯖落ちはこのためだったのか!!
13 : 2020/07/14(火) 15:14:11.50 ID:nIcMxHOf0
注射とかゴトかよwww
14 : 2020/07/14(火) 15:14:40.07 ID:5z43qVPh0
いつの時代だよw
15 : 2020/07/14(火) 15:14:44.99 ID:gcXhLPR60
「インターネット上の掲示板には犯行声明とみられる投稿があった。」
 ↑
5ちゃんねらーは犯罪者だ
おまえらは、犯罪者予備軍だぞ?
23 : 2020/07/14(火) 15:18:55.57 ID:pscf7G9j0
>>15
またハセカラ民の悪戯かもねこれ
16 : 2020/07/14(火) 15:15:25.90 ID:AoP4m9XQ0
自信があります
18 : 2020/07/14(火) 15:16:33.88 ID:XjHu1TS00
自信があるからお電話は一切いたしません!!
19 : 2020/07/14(火) 15:16:40.18 ID:5z43qVPh0
うんこセキュリティに高い保守料払ってたんだろなー
20 : 2020/07/14(火) 15:16:53.55 ID:YqO7B0eA0
2FAも知らなかった自称IT企業の社長もいたな
セブンペイだっけw

どこに飛ばされちゃったのかな

21 : 2020/07/14(火) 15:17:38.82 ID:qxGqLgZS0
昭和かよ
22 : 2020/07/14(火) 15:18:08.32 ID:aUsndzPI0
今時そんなことあるんだ
24 : 2020/07/14(火) 15:19:53.28 ID:UCZuN1ea0
今どき基本的で必須なセキュリティ対策なのですが
26 : 2020/07/14(火) 15:23:24.14 ID:XGPNtqAf0
5chでさえSQLインジェクションのチェック用クエリ書き込もうとするとセキュリティで弾かれるというのに…
29 : 2020/07/14(火) 15:25:57.11 ID:QtHNu09o0
派遣の情報なんか知って何のメリットがあるの?

百貨店の外商顧客リスト盗むならわかるけどさ

30 : 2020/07/14(火) 15:25:57.68 ID:aR7fmFvW0
基礎の基礎の基礎なのに
31 : 2020/07/14(火) 15:28:11.10 ID:/CBucWCK0
派遣はくたばれ
32 : 2020/07/14(火) 15:30:46.66 ID:nSM6rxHr0
自分自身に「あんたバカァ?」
33 : 2020/07/14(火) 15:31:16.58 ID:kORQluQg0
SQL文まるごと引数で受け取って実行しちゃうアレだっけ?
38 : 2020/07/14(火) 15:38:59.71 ID:tCmmDil+0
>>33
検索ワードをsqlとして受け取るって方がしっくり来るんかな
例えば検索窓に
田中太郎 or A=A
こんなのを入力するとか(or以降により判定が全て真となり全部ぶっこ抜かれる)
34 : 2020/07/14(火) 15:31:30.02 ID:y1C1N9Qt0
2月2日 アスカ五郎を殺したのは貴様か!?
35 : 2020/07/14(火) 15:32:53.54 ID:CSW1h7aq0
と40歳児無職が申しております
37 : 2020/07/14(火) 15:35:45.59 ID:rZBHyaS80
同業他社が、奴隷派遣の引き抜き用かな?w
馬鹿な派遣社員がまだまだ沢山居るお陰で竹中は笑いが止まらんだろなw

コメント

タイトルとURLをコピーしました