CMSに総当たり攻撃、個人情報流出の可能性 - 体育器具メーカー

体育器具やスポーツ用品の製造、販売を手がける三英は、同社公式ウェブサイトに対するサイバー攻撃があり、サイトフォームより問い合わせを行った顧客に関する個人情報が流出したおそれがあることを明らかにした。

同社によれば、ウェブサイト分析ツールにおける不審な登録を2025年7月22日に確認。同月25日にサイトを閉鎖し、調査を進めたところ、同月31日にサーバ内の不正なファイルを確認した。

調査を行ったところ、コンテンツマネジメントシステム（CMS）に対するブルートフォース攻撃によりパスワードを特定されて侵入されたことが明らかとなった。

問い合わせフォームより連絡を行っていた顧客の氏名または会社名、住所、電話番号、メールアドレスなど個人情報が流出した可能性がある。

今回の問題を受けて同社は謝罪。対象となる顧客にメールで案内を行った。侵害されたウェブサイトについては再開せず、CMSを含むサーバ内のデータを消去したという。

今後は、強度を持ったパスワードの利用、ログイン試行回数の制限、ウェブアプリケーションファイアウォール（WAF）や多要素認証の導入、海外からのアクセス制限などを実施し、再発の防止を図るとしている。

（Security NEXT - 2025/12/11 ） ツイート

PR

関連記事

総当り攻撃で内部侵入、挙動検知してサーバ隔離 - タマダHD
SonicWallのクラウドバックアップに攻撃 - FW情報が漏洩
ウェブメールに対する攻撃試行を観測 - 成功は確認されず
ランサム被害、BF攻撃で乗っ取られた再委託先PC経由で - CTC
Ciscoセキュリティ製品のVPN機能にゼロデイ脆弱性 - ランサムの標的に
ワクチン予約サイトにリバースブルートフォース攻撃 - 君津市
「CloudGuard」にウェブアプリやAPI保護機能を追加 - チェック・ポイント
「ドコモ口座」経由で金融機関口座から不正引出 - 約1000万円の被害
「Sポイント」会員サイトに約1000万回のログイン試行 - ポイント交換も
EOLのマルウェア侵入対策製品がボットネットの標的に