登録会員限定記事 現在はどなたでも閲覧可能です
店舗調査を手掛けるMS&Consulting(エムエス・アンド・コンサルティング)は2018年6月1日、同社が運営するWebサイト「ミステリーショッピングリサーチ」で発生した不正アクセスの詳細を発表した。同社は5月14日に不正アクセスの被害を発表し、調査を進めていた。
不正アクセスを受けたWebサイト「ミステリーショッピングリサーチ」
(出所:MS&Consulting)
[画像のクリックで拡大表示]
5月14日時点では、不正アクセスを受けたのは5月2日のみで、流出の可能性がある個人情報は6119件としていた。今回の発表では5月2日以前にも同様の不正アクセスが発生していたとし、流出の可能性がある個人情報を約57万件に増やしている。外部専門機関を交えたフォレンジック調査によって判明したという。流出した可能性ある個人情報はメールアドレス、パスワード、電話番号である。
攻撃者は同社のWebサイトを「SQLインジェクション」と呼ばれる手法で襲った。Webサイトに接続する際、URLの末尾に内部データベース操作用のSQLコマンドを混入すると、不正に個人情報を取得できる不具合があった。攻撃の対策に導入したセキュリティ製品「Webアプリケーションファイアウオール(WAF)」の設定に誤りがあり、海外子会社向けのモニター登録サイトへのSQLインジェクション攻撃を防げなかったという。
MS&Consultingは5月12日にWAFの設定修正を実施し、5月28日までに外部専門機関による安全性検証を完了したとしている。
