2022年6月29日
【名大/SQLインジェクション】名古屋大学への不正アクセスによる個人情報流出について
SQLインジェクションにより、約2,000件のメールアドレスが漏えいした可能性のある事例です。
※以下引用
※名古屋大学への不正アクセスによる個人情報流出について/名古屋大学/2022年6月28日
令和4年5月16日(月)、Q&Aシステムのログを確認したところ、第三者から攻撃を受けていたことが判明しました。この攻撃は5月10(火)4時27分から10時35分の間、及び5月14日(土)11時14分から5月15日(日)8時45分の間であり、アクセスログ解析の結果、当該システムに保存されていた、質問時に連絡先として記載されたメールアドレスが2,086件漏洩した可能性があります。
~中略~
第三者に不正アクセスされた原因は、ブラインドSQLインジェクションと呼ばれる、Webアプリケーションのデータベースを不正に操作する攻撃によるものです。今後は、サーバー管理や情報セキュリティの確保に関する教育研修を強化し、構成員の意識向上を図るとともに、設備面ではWeb Application Firewall(WAF)の導入を検討するなど、再発防止に努めて参ります。
※引用ここまで
脆弱性への対応はどうしても後手に回りやすいかと存じます。
そんな時にクラウドと連動しているWAFを導入頂ければ、未対応の脆弱性を狙った攻撃が来たとしてもブロックいたします。
皆様にも当社WAF製品イージスで、最低限の対策を行って頂きたいと思料するものです。
