ウェブサイトの管理は厳重に！

このブログでもこれまで何度も記事にしていますが、ウェブサイトの管理を厳重にしないと、大きな被害を受けることがある・・・という事例が実際に発生しています。

大規模な情報漏洩が発生した事例

住宅大手の積水ハウスでは2024年5月に顧客向け会員サイトがサイバー攻撃を受け、顧客10万8331人、従業員18万3590人の情報が漏洩しています。

"空き巣"入り放題！ ｢過去のサイト｣放置の怖さ

https://toyokeizai.net/articles/-/828995

住宅大手の積水ハウスは2024年5月24日、顧客向け会員サイトがサイバー攻撃を受け、顧客情報と従業員等の情報が漏洩したと発表した。漏洩した情報はメールアドレスやパスワード等で、人数は顧客10万8331人、従業員1…

東洋経済オンライン

積水ハウスが29万人超の個人情報漏洩、過去のページでセキュリティー設定に不備

https://xtech.nikkei.com/atcl/nxt/news/24/00849/

　2024年5月24日、積水ハウスはサイバー攻撃により顧客情報などが漏洩したと発表した。同社の住宅オーナー向けの会員制サイト「積水ハウスNetオーナーズクラブ」において、過去に使用していたページのセキュリティー設定に不備があり、同サイトのデータベースからパスワードなどが漏洩した。攻撃手法は、データベースに命令文（SQL文）を送りつけて情報を不正に入手する「SQLインジェクション」だった。

日経クロステック（xTECH）

https://www.sekisuihouse.co.jp/company/topics/library/2024/20240524_1/2024052...

https://www.sekisuihouse.co.jp/company/topics/library/2024/20240524_1/20240524_1.pdf?_gl=1*1hvs8o1*_ga*MTE4MDExMzU2Ny4xNjkyMzQ2MDg5*_ga_JFPK8C8Q2X*MTcxNjY4MzMzMy4yMDcuMS4xNzE2Njg0NTAwLjAuMC4w*_ga_6238L08DRN*MTcxNjY4MzMzMy4yMDYuMS4xNzE2Njg0NTAwLjAuMC4w*_ga_EX8ZJT4N8D*MTcxNjY4MzMzMy4yMDYuMS4xNzE2Njg0NTAwLjAuMC4w*_ga_89XEXK0328*MTcxNjY4MzMzNC4yMDYuMS4xNzE2Njg0NTAwLjAuMC4xMjEyMDA3MDQ3

www.sekisuihouse.co.jp

お客様情報等の外部漏えいに関するご質問 | よくあるご質問(FAQ) | 企業・IR・ESG...

https://www.sekisuihouse.co.jp/company/faq/20240528faq/

2024年5月24日発表「住宅オーナー様等向けの会員制サイトにサイバー攻撃を受けたことによるお客様情報等の外部漏えいについて」に関するご質問

www.sekisuihouse.co.jp

この件では、現在運用していないサイトのセキュリティの不備を突かれて悪用されています。
運用を終えていても存在していればアクセスできるわけで、そこに脆弱性があれば悪用されることもあります。
むしろ運用していないからと、メンテナンスもせず放置されていれば、攻撃者にとってこれほど狙いやすいサイトはないわけで、まさに空き巣は入り放題という状況になってしまいます。

また、2024年10月には全漁連の通販サイトが脆弱性を突かれてカード情報12,000件が流出、サイト閉鎖に追い込まれています。

カード情報1.2万件流出か、全漁連の通販サイト閉鎖　XSS脆弱性からペイメントアプ...

https://www.itmedia.co.jp/news/articles/2410/04/news179.html

JF全漁連の「JFおさかなマルシェ ギョギョいち 本店」が不正アクセスを受けた問題で、同サイトの閉鎖が決まった。

ITmedia NEWS

全漁連のECサイト「ギョギョいち」への不正アクセスでクレカ情報約1万2000件漏えい...

https://www.itmedia.co.jp/news/articles/2408/20/news123.html

全漁連は19日、通販サイト「JFおさかなマルシェ ギョギョいち」が不正アクセスを受け、利用者の個人情報2万1728件が漏えいした可能性があると発表した。これにはクレジットカード情報1万1844件が含まれる。

ITmedia NEWS

全国漁業協同組合連合会 通販サイト「JFおさかなマルシェ ギョギョいち」への不正...

https://www.zengyoren.or.jp/news/press_20240819/

全国漁業協同組合連合会 通販サイト「JFおさかなマルシェ ギョギョいち」への不正アクセスによる個人情報漏えいの恐れに関する調査結果のご報告｜「JF全漁連」は、漁業者でつくるJF（漁業協同組合）やJF連合会（都道府県漁業協同組合連合会・信用漁業協同組合連合会）の全国団体です。JFの組合員である漁業経営と生活を守り、そして青く美しい海と豊かな海の幸を次の世代まで受け継ぐため、「漁業者の生活向上、漁村地域の発展」と「消費者の皆さまに安全・安心な水産物を安定的に供給すること」を第一の使命とし、総合的に事業を行っ...

全国漁業協同組合連合会 通販サイト「JFおさかなマルシェ ギョギョいち」への不正アクセスによる個人情報漏えいの恐れに関する調査結果のご報告｜お知らせ｜JF全漁連ホームページ

クロスサイトスクリプティング（XSS）とは？わかりやすく解説 | クラウド型WAF『攻...

https://www.shadan-kun.com/waf_websecurity/xss/

クロスサイトスクリプティング（XSS）攻撃とは、ユーザからの入力内容をもとにWebページを生成するサイト（例：アンケートサイト、サイト内検索、ブログ、掲示板など）やTwitterのようなWebアプリケーションで、Webアプリケーションの脆弱性を利用して悪意のあるデータを埋め込み、スクリプトを実行させる攻撃手法です。対策も含めて紹介します。

クラウド型WAF『攻撃遮断くん』

脆弱性を利用される例が多い

上記の被害もサイトのセキュリティの脆弱性を突かれて悪用されています。
特に積水ハウスの例では運用していないサイトだったとのことで、放置状態だったのではないかと思います。

きちんとメンテナンスをしてサーバーのシステムやWordPressなどのCMSを最新の状態にしておかないと悪用される可能性がある、ということを常に意識して運用することが大切です。

特にWordPressサイトは普及率が高い故に、管理が甘いサイトも多く攻撃の対象になることが多いです。
WordPressが脆弱なわけではなく、メンテナンスをせず古い状態のままのサイトが多いために発生例が多くなります。
きちんとメンテナンスをしていれば防ぐことができることなので、日頃のメンテナンスが重要になるということです。

下記にこれまで書いたウェブサイト管理についての記事を掲載しますので、ぜひ参照ください。

WordPressサイトの管理は厳重に！

WordPressサイトは普及とともに、WordPressサイトを狙った不正アクセス被害も増えています。これはWordPressが脆弱なシステムということではなく、運営する側の管理不十分…

3061.jp

改めてWordPressサイトの管理の重要性を考える

WordPressは使用しているウェブサイトが多く、テーマやプラグインが豊富にあり、テクニックや運用に関する情報もあるので運用しやすい環境です。反面、その普及率の高さか…

3061.jp

改めてWordPressの安全性を確認しておこう

WordPressのセキュリティを脅かす行為は止むことを知らず、様々な形でサイトに危害を加えてきます。ここで改めてWordPressの安全性を確認しておきましょう。 WorsPressサ…

3061.jp

1日75万件の攻撃に晒される！ レンタルサーバーの脅威動向レポート

  ロリポップ！レンタルサーバーを対象にした2018年第4四半期の脅威動向レポートによると、1日約75万件の攻撃があり、その多くはWordPressを対象としたものであると…

3061.jp

アップグレードしましたか？ WordPressサイトの改ざん被害は150万件超え

  WordPressの脆弱性を悪用した改ざん被害は、急激に増加し、150万件を超え、その脆弱性は最悪級の脆弱性 と言われています。   わずか数日で150万件の改ざん被…

3061.jp

いいね or フォローする

@fujidenki