セキュリティブログ

【名大/SQLインジェクション】名古屋大学への不正アクセスによる個人情報流出について

2022.06.29

SQLインジェクションにより、約2,000件のメールアドレスが漏えいした可能性のある事例です。

※以下引用

※名古屋大学への不正アクセスによる個人情報流出について/名古屋大学/2022年6月28日

令和4年5月16日(月)、Q&Aシステムのログを確認したところ、第三者から攻撃を受けていたことが判明しました。この攻撃は5月10(火)4時27分から10時35分の間、及び5月14日(土)11時14分から5月15日(日)8時45分の間であり、アクセスログ解析の結果、当該システムに保存されていた、質問時に連絡先として記載されたメールアドレスが2,086件漏洩した可能性があります。

~中略~

第三者に不正アクセスされた原因は、ブラインドSQLインジェクションと呼ばれる、Webアプリケーションのデータベースを不正に操作する攻撃によるものです。今後は、サーバー管理や情報セキュリティの確保に関する教育研修を強化し、構成員の意識向上を図るとともに、設備面ではWeb Application Firewall(WAF)の導入を検討するなど、再発防止に努めて参ります。

※引用ここまで

脆弱性への対応はどうしても後手に回りやすいかと存じます。

そんな時にクラウドと連動しているWAFを導入頂ければ、未対応の脆弱性を狙った攻撃が来たとしてもブロックいたします。

皆様にも当社WAF製品イージスで、最低限の対策を行って頂きたいと思料するものです。