鳥取県や埼玉県などの環境サイトにSQLインジェクション攻撃、個人情報7977人分漏洩

登録会員限定記事　現在はどなたでも閲覧可能です

　鳥取県や埼玉県など6組織は2018年6月27日までに、Webサイトで運営する住民向けの環境保護支援サービスが不正アクセスを受け、個人情報が漏洩した疑いがあるとそれぞれ発表した。被害を受けたのは他に東京都小平市、滋賀県、京都府地球温暖化防止活動推進センター、地球環境戦略研究機関（IGES）。これら6組織は同じ企業にWebサイト運営を委託していた。

個人情報漏洩の疑いに関する鳥取県の発表文

（出所：鳥取県）

[画像のクリックで拡大表示]

　漏洩した疑いがあるのは、メールアドレス、名前、ハッシュ化されたパスワードで、6組織合計7977人分。埼玉県については一部利用者の住所・電話番号も漏洩した。

　鳥取県は「環境家計簿『わが家のエコ録』」という名称でサイトを運営し、電気やガスなどの使用量から二酸化炭素排出量を計算して記録できる機能を提供していた。他の5組織もほぼ同様のサービスを運営していた。

　運営を受託していたのは、省エネルギーに関するコンサルティングを手がけるひのでやエコライフ研究所（京都市）。同社の説明によれば、2018年6月25日に鳥取県から「セキュリティ専門家から個人情報が漏れているのではないかという問い合わせがあったので調べてほしい」との連絡があった。

　同社が過去のログをさかのぼって調査したところ、2018年3月19日にSQLインジェクションによる不正アクセスを受けていたことが分かった。攻撃者は鳥取県のWebサイトに対して不正なSQL文を送信してデータベース内容を窃取した。データベースの権限設定に不備があったため、鳥取県以外の5組織の個人情報も同時に窃取されたという。

　同社は「我々の不手際のためにこのような問題を引き起こして申し訳ない」としている。