不正アクセス事例紹介|名古屋大学 SQLインジェクションによる個人情報漏えい事件の詳細と原因

この記事は大学のサイト担当者、ワードプレスなどオープンソースのCMSを用いてコーポレートサイトを運営している企業の情報システム部及び管理部のご担当者様、各役員様向けの記事です。

 

1.不正アクセス事例紹介

名古屋大学は2022年6月28日に東海国立大学機構名古屋大学情報連携推進本部で運用されているQ&Aシステムが第三者からの不正アクセスがあったことを発表しました。

名古屋大学 名古屋大学への不正アクセスによる個人情報流出について>>

 

2.不正アクセス事件の詳細と被害内容

今回の不正アクセスは2022年5月10日に約6時間、及び5月14日から15日にかけて約21時間の2回に渡り不正アクセスを実施されていました。
2022年5月16日に当該システムのログを確認し第三者から攻撃を受けていたことが判明しております。

今回不正アクセスを実施された結果、システムに保全されていた質問時に連絡先として記載されたメールアドレスが2,086件漏えいしたとのことでしたが
運よく閲覧されたメールアドレスが悪用された事実は確認されていなかったとのことです。

 

3.不正アクセスの原因と対策

今回はサイトに潜む脆弱性のひとつ「ブラインドSQLインジェクション」を狙い、データベースを不正に操作するサイバー攻撃でした。
名古屋大学は対策として、学内の情報セキュリティに関する教育研修を強化し、関係者の意識向上を図ると共に、WAFの導入を検討し再発防止に努めると発表しております。

SQLインジェクションについては下記記事で詳細を記載しておりますのでぜひ参考にしてください。

SQLインジェクションとは?被害事例や対策とあわせてどこよりもわかりやすく!

 

4.まとめ

今回、漏えいしたメールアドレスに被害が無かったのは不幸中の幸いですが、名古屋大学は2021年10月29日にも不正アクセスによる個人情報漏えい事件を発表しております。前回も学内の研修を強化すると発表しておりましたが、1年経たないうちに再発してしまう結果になっています。しかし、これは担当者を責めても解決しないんです。いつ発生するかわからない脆弱性を担当者が24時間365日監視し続けることは不可能です。人の力には限界があります。
こんな問題こそ、システムを活用してください!