積水ハウスにサイバー攻撃 約30万件の情報漏えい、パスワードも 流出疑いも50万件超【追記あり】
コメント
注目のコメント
使用していないWebページや機能を廃止していくことの重要性に気付かされるニュースでした。
“2008年から11年にかけて運用していたが、現在は使用していないWebページのセキュリティ設定に不備があり、漏えいにつながったという。”
「データベースを操作するための言語を用いたサイバー攻撃」と聞くとSQLインジェクションという攻撃を想像します。
“調査したところ「データベースを操作するための言語を用いたサイバー攻撃を受けた」(同社)ことが分かったという。”
IPA、JPCERTへの届出数ベースで、クロスサイトスクリプティングに次いで2番目に多い、よく知られた攻撃手法です。
https://www.ipa.go.jp/security/reports/vuln/software/jod03a000000bv5c-att/vuln_software_report_2023q3.pdf
NewsPicksを運営するユーザベースのエンジニアがSQLインジェクション対策の実装について記載したブログがあります。よろしければこちらもご参考ください。
SaaS Product Team セキュアコーディングの啓蒙 第2回 (SQL インジェクション編)
https://tech.uzabase.com/entry/2023/11/27/155337サイバー攻撃は個人情報流出の被害も大きいが業務が不能になるという作用も被害が大きい。
ある意味セルフサイバー攻撃のグリコの例もあるが、システムがビジネスの根幹になってきている中でどう対応していくのか。組織のトランスフォーメーションの遅れも脆弱性になり得る。担当は大変だろう。
気になるのは「データベースを操作するための言語を用いたサイバー攻撃を受けた」という記述。SQLってこと?詳しく知りたい。
データベースをいかれると被害も大きいくしんどい。他山の石とせず推移を見守りたい🙏️「セキュリティ設定に不備」ということで、クラウド上のアクセスコントロールの話かと思いましたが、2011年まで利用していたサイトということで、クラウドではなさそうですね。
「DB操作」ということですから、SQLインジェクションの可能性が高そうです。
そもそも2011年まで利用していて今は利用していないということなので、その管理責任は残念な状況と言わざるを得ませんね。
サイトのうち特定のページが使われないのであれば、そのページへのアクセスをできないようにするとか、Production環境から落としておくべきですね。
とはいえ、どういうクロージング処理・手続きをしていたかわりませんが、そういうことはちゃんとやっているつもりでも発生してしまうかもしれませんね。
こういうケースは、Attack Surface Management(ASM)サービスがもしかして役に立つのかも?
