セキュリティニュース

川本製作所 ウェブサイト問い合わせフォームに不正アクセス 約2500件流出

川本製作所(愛知県名古屋市)は18日、ウェブサイトの「お問い合わせフォーム」に第三者による不正アクセスがあり、入力された情報の一部が外部に流出した事実を確認したと発表した。流出したのは2017年2月から2019年5月の間に入力された情報で、件数は2545件だという。二次被害は現時点で確認されていない。個人情報保護委員会および警察などの関係機関へ報告済みだ。

当社ウェブサイトの「お問い合わせフォーム」への不正アクセスに関するお知らせとお詫び|株式会社川本製作所より引用

2017年~2019年の問い合わせ情報が対象

川本製作所によると、流出した情報は2017年2月から2019年5月の間に、同社ウェブサイトの「お問い合わせフォーム」を通じて入力された情報だ。具体的な内容については公表していないが、一般的な問い合わせフォームでは氏名、メールアドレス、電話番号、会社名、問い合わせ内容などが入力される。

対象期間が約2年3カ月と比較的長期にわたっている点が特徴的だ。2017年から2019年という過去の情報であるため、現在は連絡先が変わっている可能性もあるが、メールアドレスなどが有効であれば、標的型攻撃やフィッシング詐欺に利用されるリスクがある。

不正アクセス確認後に速やかに対策

同社は、不正アクセスの確認後、速やかに対策を講じたという。具体的な対策内容は明らかにしていないが、一般的には問い合わせフォームの脆弱性の修正、アクセスログの詳細分析、セキュリティ監視体制の強化などが考えられる。

同社は、事態を厳粛に受け止め、セキュリティ対策および監視体制の強化を順次実施していくとしている。また、流出した情報による二次被害は現時点で確認されていないが、引き続き状況の把握に努めるとした。

ウェブフォームへの不正アクセスのリスク

ウェブサイトの問い合わせフォームは、企業と顧客の重要な接点だが、セキュリティ上の脆弱性が存在する場合がある。代表的な攻撃手法としては、SQLインジェクション、クロスサイトスクリプティング(XSS)、データベースへの直接アクセスなどがある。

特に古いシステムを使用している場合、既知の脆弱性が放置されている可能性がある。定期的なセキュリティ診断や、システムの更新、パッチ適用が重要だ。

過去データの管理の重要性

今回の事案では、2017年から2019年という過去のデータが流出している。企業は業務上の必要性から顧客情報を一定期間保管するが、保管期間経過後のデータの適切な削除も重要な課題だ。

個人情報保護法では、利用目的を達成した後は個人データを遅滞なく消去するよう努めることが求められている。不要なデータを保管し続けることは、情報漏洩のリスクを高めることになる。

問い合わせフォームのセキュリティ対策

問い合わせフォームのセキュリティ対策としては、入力値の検証(バリデーション)、適切なエスケープ処理、HTTPS通信の使用、CAPTCHA(自動送信防止機能)の導入、定期的なセキュリティ診断などが有効だ。

また、問い合わせ内容をデータベースに保存する場合は、適切なアクセス制御、データの暗号化、定期的なバックアップと不要データの削除も重要だ。

二次被害への注意喚起

川本製作所は、流出した情報による二次被害は現時点で確認されていないとしているが、今後、流出した情報を利用したフィッシングメールやなりすましの連絡が来る可能性がある。

同社や関連企業を装った不審なメール、電話、SMSなどには十分注意が必要だ。特に、個人情報の入力を求められたり、金銭の支払いを要求されたりした場合は、直ちに同社の正規の窓口に確認すべきだ。

川本製作所は「お客さまおよび関係者の皆さまに多大なご迷惑とご心配をおかけしましたことを、深くお詫び申し上げます」としている。問い合わせは電話(052-770-0008、平日9時30分~11時30分、13時~17時)またはメール(privacy@kawamoto-pump.co.jp)まで。

関連記事

著者紹介:CCSIセキュリティメディア編集部

CCSIセキュリティメディア編集部 サイバーセキュリティメディア、CCSI編集部です。


カテゴリ:
タグ:,,,