会員情報6千件超流出か、WAFの設定ミスが脆弱性に|MS&Consulting



画像:MS&Consultingより

リサーチ業務およびコンサルティング業務などを手掛ける「株式会社MS&Consulting」は2018年5月14日に、同社サイトに対して不正アクセスが行われたことを発表しました。

同社によると、不正アクセスにより漏洩が懸念される情報は合計6,119件。攻撃者は共通のデータベースを利用してる海外子会社向けのモニター登録サイトを経由し、サイバー攻撃を行ったことです。

WAFの設定ミスにより脆弱性が発生

株式会社MS&Consultingの発表によると、攻撃者は管理側が意図しない不正なSQL文を利用して不正アクセスを試みる「SQLインジェクション」を用いて攻撃を行ったとのこと。

また、同社はWAFによるセキュリティ対策を実施していましたが、設定に誤りがあったため、攻撃を許してしまったと報告。なお、2018年5月13日にWAFの再設定を行ったと説明しています。

多大な被害を及ぼしてきたSQLインジェクション

SQLインジェクションは、過去多くの企業に被害を及ぼしてきたサイバー攻撃です。

過去にはクラブツーリズムやエクスコムグローバルなどがSQLインジェクションによる被害を受けており、多くの個人情報が漏洩する事案が発生しました。

SQLインジェクションによる被害は時として莫大な被害を及ぼすため、サイバーセキュリティによる対策に加え、保険による対策も望まれるところかもしれません。