この記事は日経 xTECH登録会員限定ですが、2018年5月15日16時まではどなたでもご覧いただけます。
市場調査・コンサルティングを手掛ける東証マザーズ上場のMS&Consulting(エムエス・アンド・コンサルティング)は2018年5月14日、子会社が運営するサイトが不正アクセスされ、6119人分の会員情報が流出した可能性があると発表した。原因はセキュリティ製品「WAF(Webアプリケーションファイアウオール)」の設定ミスとしている。
流出した可能性があるのは小売店への覆面調査サービス「ミステリーショッピングリサーチ」のモニター会員情報で、メールアドレスや電話番号、同サービスへのログインに使うパスワードが含まれる。不正アクセスを受けたのは2018年5月2日の午前2時13分から午後1時25分まで。何者かは同社の海外子会社が運営するモニター登録用のWebサイトにあった脆弱性を突き、日本国内にある同社のデータベースに不正アクセスした。URLの引数に不正なSQL文を埋め込んでデータベースからデータを引き出す「SQLインジェクション」の手口を使った。
同社はWAFを導入している。本来はWAFを適切に設定すればSQLインジェクションを遮断できたが、「WAFの設定を誤り、遮断できなかった」(広報)。2018年5月10日に海外子会社のWebサーバーのログを確認した際に不正アクセスに気づき、翌11日にかけてWebサーバーのソフトウエアの脆弱性を修正。5月12日に改めて関連するシステム全体のログを確認した結果、会員情報が流出した可能性が判明し、5月13日夜までにWAFの設定を正しく変更した。
同社は事態を公表したニュースリリースで「モニターおよび関係者に多大なるご迷惑とご心配をおかけし、心より深くお詫び申し上げます」と謝罪した。
