「キッザニア」が不正アクセスで顧客情報を流出

mizunaです。
2024年10月にキッザニアが顧客情報の流出疑惑を発表しました。この度、調査結果が出てきたので見ていきます。

https://www.kidzania.jp/corporate/common/pdf/241206_release.pdf

KCJ GROUP

不正アクセスを受けた結果、氏名や住所など2万4644件が流出しました。
原因はWeb サイトのプログラムの一部にセキュリティの脆弱性があったからである、と記載されていますが、その詳細は明かされていません。

ここからは私の想像になりますが、顧客情報は通常DBで管理しているため、SQLインジェクションの脆弱性をつかれたのではないかと考えています。

SQLインジェクションとは、DBを操作するSQLという言語を悪用することで、不正にDBを操作することを言います。

この脆弱性があると、今回のようにDBの中身を取り出されたり、DBの中身を変更されてしまいます。

SQLインジェクションへの対策はプレースホルダの利用が一般的です。プレースホルダとは、攻撃者にSQLを悪用されないように、開発者が設計した構文でのみSQLを実行する仕組みです。

顧客情報の流出を伴うセキュリティ事故が頻発しているため、被害を受けた企業は他の企業が同じ被害を受けないように、より詳細な情報を開示してほしいです。