下手をすればサービス終了?!webサイトへの攻撃はどんな事例があるの?

2020.02.07

被害事例

下手をすればサービス終了?!webサイトへの攻撃はどんな事例があるの?

スマホなどの普及により、ネットは非常に身近な存在となりました。ネットを利用する人数が爆発的に増えたこともあり、ネット上に存在する多数のサイトは、その取り扱う個人情報の多さなどからたびたび悪意のある人間から攻撃の対象とされています。セキュリティも日々向上していますが、webサイトを狙ったサイバー攻撃は跡を絶ちません。この記事では今までにあったwebサイトへの攻撃事例を何点かピックアップして紹介していきます。

目次

2014年~2016年に起こったwebサイト攻撃事例

大手出版社

不正なプログラム「Infostealer.Torpplar」がサイトに書き込まれたことによるサイバー攻撃。これにより、同サイトを訪れたセキュリティ面に不備のあるユーザーのデバイスが、自動で不正なプログラムを実行してしまうという被害が発生しました。ただし、このサイバー攻撃による個人情報の漏洩は確認されていません。

大手観光バス企業

ホームページにアクセスしたユーザーがウイルスに感染したという被害事例。同サイトの一部が何者かの不正アクセスによって改ざんされたことで起こった事件です。これが原因で、サイトを一時的に閉鎖する事態となりました。ウイルスがどういう挙動をしたかは調査中ですが、当該期間にサイトにアクセスしたユーザーには、ウイルスチェックが勧められました。

大手下着メーカー

サーバーが不正なアクセスを受けたことで、サイトの一部が改ざんされるという被害を受けました。一部の検索サイトがサイトを、コンピューターにダメージを与える可能性のある悪質なサイトと判定したことから調査がはじまり、改ざんがあることを突き止めたとの話です。その後、関連サイトを全て閉鎖してさらなる調査へ踏み切ることになりました。不正プログラムのダウンロードや、妙なサイトへ飛ばされてのウイルス感染など、悪質な被害に遭う可能性があったとのことです。

キャラクター商品販売会社

株主に向けて提供されているサイト、「株主ポイント倶楽部」で、個人情報の漏洩が起こった事件です。これを受けてサービスを停止、委託業者に依頼して、調査を開始する事態となりました。その結果、株主番号、氏名、住所から生年月日、性別、電話番号やメールアドレスなどが漏洩した可能性があると発表されています。株主からこのサービス以外に使用していないメールアドレスに、投資勧誘のメールが届いたとの通報があったことでwebへの攻撃が発覚しました。

マッチングサービス

不倫専用サイトが不正アクセスによって約3700万人以上に及ぶ、会員の個人情報の流出を許してしまった事件です。仕掛けたのはハッカー集団「インパクトチーム」と自称しています。彼らハッカー集団は会員情報を公開されたくなければ、サイトを閉鎖しろとの脅迫行動にでています。

ギフトサイト

ギフトサイトが、サーバーへの不正アクセスがもとで顧客情報の漏洩が起こったとされる事件。想定された漏洩の規模は13万件にも及ぶとのことです。このweb攻撃を受け、脆弱性対策の実施、Payment Card Forensicsという第三者機関に調査を依頼した後に漏洩の指摘を受けてサイト閉鎖、といった対応をとっています。

都立動物園・水族館

東京動物園・水族館による運営サイトが不正アクセスを受けての改ざん被害にあった事例です。不正アクセスにより、メールマガジンに登録していたメールアドレス約2万件が流出、さらに「友の会」への加入方法などを問い合わせしていた人たちの個人情報(氏名、住所、電話番号、メールアドレスなど)も流出してしまいました。

2017年~2019年に起こったwebサイト攻撃事例

貿易会社

公式webサイトが、サイバー攻撃を受けたことが原因で、同サイトの一部情報が消去されてしまう事態に陥った事件です。消されてしまった情報内には、サイトに登録済みのメールアドレス約2万6千件も入っており、これらの個人情報を盗むことが目的だった可能性があると見られています。流出した情報に関連した二次被害の発生は確認されていません。

乳製品製造大手

乳製品製造の大手企業の通販サイトで起こった個人情報漏洩の被害事例です。不正アクセスによって被ったこの被害は、約2万3千人に及ぶクレジットカード情報の漏洩の可能性が発表されました。第三者機関に要請して原因を調査した結果、サーバーに内在していた脆弱性を利用しての犯行だと判明しています。また、漏洩した個人情報は最大で約9万2千件にも及ぶと修正されました。

ミステリーショッピングリサーチ

ミステリーショッピングリサーチ関係のwebサイトで起こったサイバー攻撃です。2018年5月10日に、サーバーログの確認をした際に発覚しました。この事件はWAFの設定ミスが原因で、SQLインジェクション攻撃を防ぐことができずに不正アクセスを許してしまい、最大で約6千件の個人情報が流出した可能性があるとする案件です。流出した個人情報は電話番号、メールアドレス、パスワードとなっています。

通販サイト

通販サイトで発生した不正アクセス事件。サービス内で問題が発生したことから調査を開始したところ、不正なアクセスが見つかったとのことです。流出した個人情報は会員ID、氏名、メールアドレスなどで、それらは約56万件にも及ぶと発表されています。サービスを再開するにはシステムの全面改修などを行う必要があると見られ、総合的な判断から2019年3月にサービスの終了が決まりました。

チケット販売サイト

チケットの販売を行っている通販サイトで、顧客情報が第三者である別の顧客に表示されてしまう問題が発生した事例です。原因は、何かしらの理由でサイト上で高負荷が発生し、サイトへのアクセスが困難となったことから改善を試みた際の不手際となっています。結果として、氏名、電話番号、パスワードなどの個人情報が最大で約1600件流出した可能性があるとのことです。

大手衣類通販サイト

オンライン通販サイトが標的となった事例。この事例で行われたweb攻撃は、パスワードリスト型攻撃と呼ばれる手法を用いた不正アクセスです。この犯行により、約46万件もの顧客情報がファーストリテイリングから流出したと見られています。流出した顧客情報の中には、クレジットカード情報も入っていたため、これらを用いた被害がでないよう警戒が続けられています。

過去の事例を参考にして対策を

web攻撃の大半は個人情報の窃取を目的として行われます。攻撃手段は実にさまざまなものがあり、これらを全て対策していくのは大変です。しかし、web攻撃を甘く見たり、対策を諦めてしまったりすると、とてつもない被害を被りかねません。今回紹介したような過去の事例を参考にして、出来得るセキュリティ対策をしっかりと実施していくことが大切です。

サイバー攻撃を可視化・遮断する「攻撃遮断くん」

クラウド型WAF 攻撃遮断くん Web Application Firewall
https://www.shadan-kun.com/

 

サイバーセキュリティクラウドが提供する「攻撃遮断くん」はWebサイト・Webサーバへのサイバー攻撃を可視化し、遮断するセキュリティサービスです。
ブルートフォースアタック、クロスサイトスクリプティング、Webスキャンと言ったサイバー攻撃をリアルタイムで検知・遮断しています。
ユーザーごとに提供される管理画面で、契約したWebサーバへの攻撃の情報を確認することができます。

  • DDoS攻撃対策|導入社数、導入サイト数No.1|選ばれ続ける理由とは?クラウド型WAFでWebセキュリティ対策|今すぐ無料でダウンロード
  • 累計12,000サイトの導入実績 多数の事例から、導入までの経緯と抱えていた課題の解決方法をご紹介