※トップ画像は佐賀県玄海町のリリース文より
皆さんこんにちは。
プライバシーザムライ中康二です。
ここ数年、大人気の「ふるさと納税」。年間の利用額が1兆円を突破し、過疎に悩む地方自治体が競って寄付を集めています。そんな中、佐賀県玄海町が設置した「ふるさと納税特設サイト」に不正アクセスがあり、41万人分のメールアドレスが流出したというニュースが飛び込んできました。今回の攻撃手法は「SQLインジェクション」。最近あまり聞かなくなった攻撃手法ですが、改めてその危険性と対策について考えてみます。
「玄海町ふるさと納税特設サイト」へのSQLインジェクション攻撃の概要
この度、佐賀県玄海町は、自らが設置した 「ふるさと納税特設サイト」で、2024年8月に発生した不正アクセス について、調査結果を発表しました。
調査の結果、メールアドレスを含む約41万件の個人情報が漏えいしたことが判明しました。サイトの動作が異常に遅いとのことで、調査を行ったところ、8月20日に不正アクセスが発覚したとのことです。
その後、玄海町としては、不正アクセスのブロック、サイトの公開停止、警察・個人情報保護委員会への報告(速報)、プレス発表、寄付者への通知などを実施しましたが、その後、いったん動きが止まり、10月になってから外部専門機関による調査が行われ、2025年1月に特設サイトの運営を再開したとのことでした。初動対応は素早かったものの、その後の調査・復旧には時間を要した印象です。
不正アクセスの手法としては、SQLインジェクションが使われていたとのことです。2024年5月16日に行ったシステム改修の際、SQLインジェクションを受けやすい脆弱性のある状態になってしまったとのことです。この脆弱性が突かれて8月20日に不正アクセスが発覚したとのことです。
ちなみに今回不正アクセスが行われて停止したのは、玄海町が独自に設置したふるさと納税特設サイトであり、それ以外(ふるさとチョイスなど)のふるさと納税専用サービスサイトでの運営は止まらなかったため、玄海町全体の寄付集めとしてはそれほど大きな影響はなかったようです。
SQLインジェクション対策はまだ必要なのか?
SQLインジェクションは、2005年頃から多くの企業が被害を受け、大きな問題となった攻撃手法です。
SQLインジェクション攻撃においては、攻撃者はWebサイト上のフォームから様々な文字列を流しこむことで、データベースサーバーの挙動をおかしくし、データを漏えいさせたり、Webページを改ざんしたりするというものです。その後、対抗方法がある程度確立し、現在では必要な対策を取っていれば被害の発生を抑えられるものと認識されています。
今回の「玄海町ふるさと納税特設サイト」の事件では、5月16日に脆弱性を含むシステム改修が行われ、8月20日までの間にSQLインジェクション攻撃が行われたとのことです。
どうも、悪意を持った人たちは、今もSQLインジェクション攻撃を行っているということのようです。それは人間が手処理で行うものではなく、自動化されたシステムが手当たり次第に、様々なWebサイトの様々なフォームにSQLインジェクション攻撃を仕掛けていて、ほとんどのWebサイトでは対策が済んでいるので侵入はできないものの、ほんのわずかな比率の未対策のWebサイトを探し出して、そこに攻撃を行うということが行われているとのことです。
なので、最近被害事例を聞かなくなったからといって、SQLインジェクション攻撃への対策を緩めてはいけません。常に最大限のできる対策を打ち続けることを推奨いたします。
「玄海町ふるさと納税特設サイト」への不正アクセスによる個人情報の漏えいに関するお知らせとお詫び(佐賀県玄海町)
https://www.town.genkai.lg.jp/soshiki/19/83169.html
安全なウェブサイトの作り方 – 1.1 SQLインジェクション(IPA)
https://www.ipa.go.jp/security/vuln/websecurity/sql.html
この内容が皆さんにとって何かの参考になればと思います。
また、何か情報が入りましたら、皆様にシェアいたしますね。
プライバシーザムライ
中 康二
