資格検定申込サイトへSQLi攻撃 - メアド流出の可能性

資格や検定の申し込みサイト「キャリタス資格検定」がサイバー攻撃を受けた問題で、利用者のメールアドレスが外部に流出した可能性があることがわかった。

同サイトを運営するディスコでは、5月15日から翌16日にサイバー攻撃を受けたことを公表。データの改ざんや流出が発生した可能性があるとして、サービスを停止し、外部事業者の協力のもと調査を進めていた。

今回の攻撃では海外からウェブサーバに対して、ウェブアプリケーションにおける脆弱性をつくSQLインジェクション攻撃が行われたことが判明。

またログを解析したところ、利用者に関するメールアドレス最大29万8826件が外部に流出した可能性があることがわかった。氏名や性別、生年月日、住所、電話番号、申し込み内容といった情報については、流出の可能性を否定している。

同社は対象となる利用者に対し、メールで連絡を取る。同サービスについては、脆弱性の修正を終え、安全が確認されたとして8月1日に再開した。

（Security NEXT - 2022/08/04 ） ツイート

PR

関連記事

患者向け医薬品情報サイト、年末年始直前にSQLi攻撃で改ざん被害
ふるさと納税特設サイトにSQLi脆弱性、寄付者情報が流出 - 玄海町
中国関与が疑われる「MirrorFace」の攻撃に注意喚起 - 警察庁
侵入初期に狙われる「FortiClient EMS」の既知脆弱性に注意
サイトに脆弱性攻撃、会員メールアドレスが流出した可能性 - マリンネット
APIゲートウェイ向けにOSSのセキュリティプラグインを公開
研究参加者のメアドが流出か、SQLi攻撃の痕跡 - 統数研
SQLi攻撃で顧客情報流出、顧客に脅迫メールも - アパレルブランド
経産省、メタップスPに行政処分 - 診断で脆弱性見つかるも報告書改ざん
問合システムにブラインドSQLi攻撃、メアド流出の可能性 - 名古屋大