SQLインジェクションによる個人情報漏洩

(1/3)

2005年に入って、SQLインジェクション（SQL injection）によるWebサイトからの個人情報の漏洩事件が増えています。その背景には、SQLインジェクションという言葉は知っていても、具体的な対策を知らないWeb技術者が多いためと考えられています。御社のサイトは大丈夫ですか？

SQLインジェクションによる個人情報漏洩事件

人材派遣のアデコ、個人情報6万件流出の恐れ: 大手人材派遣会社アデコは、同社のウェブサイトが不正アクセスを受け、2005年1月18日～6月2日に同サイトから仕事の申し込みなどをした約6万1000人の個人情報が流出した恐れがあると発表した。個人情報は登録者の名前や住所、電話番号、生年月日、メールアドレスなどで、今のところ、不正利用されたとの報告はないという。(6月29日)

OZmallにアクセスしたユーザーにウイルスがダウンロードされた可能性: スターツ出版は5月27日、OZmallにアクセスしたユーザーのパソコンにウイルスがダウンロードされた可能性があることを明らかにした。
ウイルスがダウンロードされた可能性があるのは、5月25日にOZmallにWindows 95/98/Me/XP/2000/NTでアクセスしたユーザー。同サイトが不正に書き換えられており、オンラインゲーム「リネージュII」のアカウント情報を盗み出すウイルス「PWS-Lineage」が組み込まれていた。(5月28日)

データベースを攻撃、外部から支配カカクコムHP事件: 日本最大の価格比較サイト価格.com が外部から攻撃を受けて一時閉鎖に追い込まれた事件で、製品情報などを管理するデータベースが乗っ取られたのが原因だったことが23日、関係者の話でわかった。コンピューターの基本ソフト(OS)などの欠陥を突いて侵入する通常のサイト攻撃とは違い、ソフトの不備ではなく、データベースの安全設定が不十分だった点を悪用された。
この事件では、その後の外部セキュリティ会社の追跡調査により、22,511件のメールアドレスが詐取されたことも判明した。カカクコムは「攻撃手法については、警察が捜査中で、コメントは差し控えたい」としている。(5月24日)