【脆弱性】人材派遣のアスカ SQLインジェクション攻撃され個人情報流出 アスカ「SQLi対策の確認したことなかった」 [雷★]
■ このスレッドは過去ログ倉庫に格納されています
人材派遣のアスカが最大3万件の個人情報を流出…1カ月以上も周知せず
7/13(月) 6:15
(略)
■アスカはどのように情報流出したのか
アスカによると、同社が受けたのは「SQLインジェクション」と呼ばれるサイバー攻撃の可能性が高い。
「SQLインジェクション」の「SQL」とは、データベースを操作するためのコンピューター言語のことで、「インジェクション」は「注入」を指す。不正な指令や操作をデータベースに注入し、データベースの情報を盗み出したり、利用者の端末にウイルスを感染させたりすることを目的とする。
SQLインジェクションによる個人情報流出は過去にも発生しており、2011年にはソニーの運営するゲーム用サービス「PlayStation Network」において、外部からの攻撃により7700万件以上の個人情報が流出。過去最大級の情報流出事件とされた。この事件で流出した個人情報もメールアドレス、住所、氏名、パスワードなどだった。
2015年には菓子メーカーのシャトレーゼもSQLインジェクションを受け、約21万人のユーザーIDやパスワード、電話番号などの個人情報が流出した。
■SQLインジェクションは古典的な攻撃方法
インターネットセキュリティに詳しいITジャーナリストの三上洋氏はSQLインジェクションについて「攻撃がSQLインジェクションによるものであれば、データベースの設計に甘さがあった可能性は否定できない」と説明する。
アスカのシステム担当者によれば、SQLインジェクションは「かなり古風な手法」。「HPのセキュリティ面は外注のサービスに一任しており、SQLインジェクションによる攻撃は当然対策されているものだという思い込みがあったため、SQLインジェクションに対する対策の有無は確認したことがなかった」という。
また、アスカへのサイバー攻撃の直後、インターネット上の掲示板には犯行声明とみられる投稿があった。「SQL、3万件以上ありました」という文言とともに、個人情報が記載されたファイルがアップロードされた。
(略)
https://news.yahoo.co.jp/articles/7a9b6fbd340df0f908d16ab9b6a1990074f2bc00&page=2 それ以前になんてわそんなデータベースを外に繋げてたんだ
よそから見る必要なんてないだろ 自信があるから電話はしません!
つってたアスカとは別なんかえ
社長がCM出てて、寺門ジモンが乗り移った今でしょ!の林先生みたいな顔の >>5
そんな意識だからエスケープも知らないんだと思う
しかしま、まさかこのご時世こんなお粗末なシステムがあるとは思わなかった 「インターネット上の掲示板には犯行声明とみられる投稿があった。」
↑
5ちゃんねらーは犯罪者だ
おまえらは、犯罪者予備軍だぞ? >>3
>>2だったら評価変わってたと思う どんまい 2FAも知らなかった自称IT企業の社長もいたな
セブンペイだっけw
どこに飛ばされちゃったのかな >>5
登録者のデータ自体が売り物
派遣会社は従業員を奴隷としか思ってない 5chでさえSQLインジェクションのチェック用クエリ書き込もうとするとセキュリティで弾かれるというのに… 派遣の情報なんか知って何のメリットがあるの?
百貨店の外商顧客リスト盗むならわかるけどさ SQL文まるごと引数で受け取って実行しちゃうアレだっけ? 昔そんなやり取りがあったブログあったよなあ。オンラインバンキングのサイトを作る話で。
「セキュリティは大丈夫ですか」
「SSL 通信なので大丈夫です(キリッ)」
「SQL インジェクションに対抗するためのサニタイジング云々…」
「えすきゅうえる?! なんだかよく分からんが、通信は暗号化されているのだからそんな対策する必要ない!」
(ここでSQLインジェクションを用いたハッキングを実践)
(ログも確認してもらい、ハッキングの痕跡も残らなかったことを実証する)
「なんだかよく分からんが、とにかくそんなものをする必要はない!」
その後、ブログ主は別のルートで担当を変えるように言ったらしいけど、どこの銀行だったんだろうねー 同業他社が、奴隷派遣の引き抜き用かな?w
馬鹿な派遣社員がまだまだ沢山居るお陰で竹中は笑いが止まらんだろなw >>33
検索ワードをsqlとして受け取るって方がしっくり来るんかな
例えば検索窓に
田中太郎 or A=A
こんなのを入力するとか(or以降により判定が全て真となり全部ぶっこ抜かれる) >>28
商品を椅子に押し込むだけで毎時お金が入る仕組みだからな
だからテレワークとかで無駄なコストは絶対に避けたい ITに疎いにも程がある
ITパスポートレベルでもSQLインジェクションを学ぶだろ かかり易さとか燃費とかどうでもいいだろ
やっぱり漢ならキャブ車だよな! 罰則がないからな。
そらセキュリティなんてスルーですわ。 インジェクションなんか
記号類の入力テスト一通りやってりゃ普通はわかるもん SQLインジェクション対策しないとか今どきあるのかよwwww SQLインジェクション未対策もお粗末だけどリスキーな個人情報を平文で格納しとったんか ORM使わないSQL直書きの古いシステムだったのだろうか? アスカって飛鳥ってかくが単に枕詞アスカそのものは朝鮮語
明日香村ですら公式に言ってるんでネトウヨは歴史修正頑張れ 今時、データベースを使うなんて・・・
時代はクラウドなんですよ アスカと言われて
50代:デビルマン
40代:チャゲじゃないほう
30代:アンタバカァ
20代:ガンダム種死の主人公 >>68
サニタイジングの方法の一つがエスケープ処理 >>1
>
> ■SQLインジェクションは古典的な攻撃方法
>
> インターネットセキュリティに詳しいITジャーナリストの三上洋氏はSQLインジェクションについて「攻撃がSQLインジェクションによるものであれば、データベースの設計に甘さがあった可能性は否定できない」と説明する。
は?w
データベース設計www
ほんと詳しいのかよw 俺がLANケーブル引っこ抜いてやろうか
最強のセキュリティ 人材派遣
非正規に仕事させてピンはね
不況になれば解雇
ひどい会社だ >>23
まさにその通りだよ
今、唐澤貴洋掲示板で流出した全員の名前が誰でも見られるようになってる 顧客の操作が直接DB操作だったら笑えるwwwwwww おいおいSQLインジェクション攻撃の対策してなかったとかマジかよ
普通は小学校で「SQLインジェクション攻撃には気を付けましょう」と習うだろ? >>60
根本的にはプリペアドステートメントだよ
エスケープしてから構文解析させるのは悪手で
そもそも外部からの入力を構文解析させるべきでない
今夜こそわかる安全なSQLの呼び出し方 〜 高木浩光氏に聞いてみた
https://www.atmarkit.co.jp/ait/spv/1006/25/news093.html テンプレートで書いてないと、そのあとは皆さん、高確率で書かないよ、
あと客が社内ユーザとかだとナァナァで書かないのもある。書かない=インジェクション対策をしない。
保守改修だとユーザが誰かハッキリ知らないから
とりあえず既存と同じように書く。
自分だけ対策すると、テスト含めて工数増えるし。
早い話が最初から書いとけ。関数化、メソッド化して他のプロジェクトでも流用すべし。 日本人のシステムのほとんどが馬鹿が馬鹿みたいに作ってあるから楽勝なんだろうね ここ最近、真面目に対策した事ねーわ。
エスケープすらしてない。
Linqがなんとかしてくれてると信じてる。 >>91
今時って思うってことはそこが心理的な穴なのさ 面倒だからそのあたりはLaravelとかフレームワークに任せてるわ。 フローリアンの後継なのか
ジェミニの後継かわからんかった 古典的に個人情報を溜め込む前に
サンドボックスの様に隔離テーブルを作って
一時的にデータを貯めておいて
後日ユニオンするという方法もある SQLが糞だと思うけど、なかなか代わりが出てこない クラウド移行が盛んになってというもの
データベースのセキュリティなんて
ほとんどノーガードで突っ切ってるシステム多いんじゃね 簡単にサニタイズ&デコードできる方法提供してくれよ
BASE64にでもしとけばいいのか? ウチは総ストアド化してるのと、JavaスクでQuery stringとsessionパラメータチェックしてる程度なんだが、
ここの住人は具体的にどんな対策しているんだ? ストアドにしてもそんなかで動的SQL実行してたら意味ないぞ >>118
PL/SQLでもPostgreSQLのストアドプロシージャで
動的にSQLを組み立てて実行する機能があるだろ
それ使ってたらアウトだ。 >>118
検索機能とかを動的SQLで組み立てるストアドがあるとする。
キーワード検索の部分はSQLに組み込まれるだろうから、
そこにサブクエリとか記述して全く別テーブルを読めるようにしちゃう。
そんな感じ。 外注で問題が起きても
仕様を書かない客が悪い
デジタルは言わなくても勝手に治る魔法の小人の箱じゃ無い なんか懐かしいな
昔は、こんな凄い手口がある!みたいな取り上げられ方してた 今時SQLインジェクションの対策とってないとはショボ過ぎ 今どきは関数一つかますか
それどころかサーバ側の設定で対処できなかったっけ? 今時は大体ORM使うんじゃないの?
生SQL書くことあってもPreparedStatement使うし、リクエストをそのままSQLに通すってどん場面なんだろ ORM使ったってその実装は動的SQLだろうから
万全というわけじゃないぞ
マッパーがエスケープしそこねたらSQLインジェクションは成立する
程度の差はあるがバグだらけで手に負えなくなったstrutsと同質のリスクがあるよ ■ このスレッドは過去ログ倉庫に格納されています