世界平和統一家庭連合(旧統一教会)系書籍発行の光言社webサイトにSQLインジェクションによる不正アクセス、会員情報一部流出か
公開日:
世界平和統一家庭連合(旧統一教会)系書籍発行の光言社は4月16日、SQLインジェクション攻撃による不正アクセスにより会員情報が一部流出した可能性があると発表した。
専門調査機関によるフォレンジック調査の結果、クレジットカード情報の漏えいはなかったという。
光言社 ポータルサイト – 当社ホームページへの不正アクセス事件のご報告とお詫び|インフォメーション より
同社によると、攻撃手法は URLの末尾のパラメータと呼ばれる箇所に不正なデータベースコマンドを混入させ、本来とは異なる情報を表示させようと試みるSQLインジェクション攻撃によるものだという。
これを受けて同社はWAF(Web Application Firewall)を導入、4月15日までに当該WebサイトへのWAF の設定と正常動作を確認した。
引き続き外部専門機関を交えたWebサイトの安全性の再検証、またWebサイト開発管理体制の強化等を実施し、再発防止に取り組むとしている。
なお、同社によると流出可能性のある情報は以下の通り。
■すべての会員区分共通
・メールアドレス ・お名前 ・住所 ・連絡先(電話,FAX番号)
■ファミリー会員
上記に加え ・APTF会員番号 ・APTF会員名
同社は、情報流出の可能性があるユーザーに電話・郵便・メール等で金融機関口座やクレジットカード情報、暗証番号、マイナンバーをお伺いすることは一切なく、不審なメールについてはメール及び添付ファイルの開封を控えるよう注意喚起を行っている。
参考:SQLインジェクション(SQLi)攻撃とは?事例と対策、体験サイト
関連記事
カテゴリ:セキュリティニュース
タグ:SQLi,SQLインジェクション,個人情報流出,光言社,統一教会