画像:MS&Consultingより
リサーチ業務およびコンサルティング業務などを手掛ける「株式会社MS&Consulting」は2018年5月14日に、同社サイトに対して不正アクセスが行われたことを発表しました。
同社によると、不正アクセスにより漏洩が懸念される情報は合計6,119件。攻撃者は共通のデータベースを利用してる海外子会社向けのモニター登録サイトを経由し、サイバー攻撃を行ったことです。
WAFの設定ミスにより脆弱性が発生
株式会社MS&Consultingの発表によると、攻撃者は管理側が意図しない不正なSQL文を利用して不正アクセスを試みる「SQLインジェクション」を用いて攻撃を行ったとのこと。
また、同社はWAFによるセキュリティ対策を実施していましたが、設定に誤りがあったため、攻撃を許してしまったと報告。なお、2018年5月13日にWAFの再設定を行ったと説明しています。
多大な被害を及ぼしてきたSQLインジェクション
SQLインジェクションは、過去多くの企業に被害を及ぼしてきたサイバー攻撃です。
過去にはクラブツーリズムやエクスコムグローバルなどがSQLインジェクションによる被害を受けており、多くの個人情報が漏洩する事案が発生しました。
SQLインジェクションによる被害は時として莫大な被害を及ぼすため、サイバーセキュリティによる対策に加え、保険による対策も望まれるところかもしれません。