アスカはどのように情報流出したのか

アスカによると、同社が受けたのは「SQLインジェクション」と呼ばれるサイバー攻撃の可能性が高い。

「SQLインジェクション」の「SQL」とは、データベースを操作するためのコンピューター言語のことで、「インジェクション」は「注入」を指す。不正な指令や操作をデータベースに注入し、データベースの情報を盗み出したり、利用者の端末にウイルスを感染させたりすることを目的とする。

2015年には菓子メーカーのシャトレーゼもSQLインジェクションを受け、約21万人のユーザーIDやパスワード、電話番号などの個人情報が流出した。

SQLインジェクションは古典的な攻撃方法

インターネットセキュリティに詳しいITジャーナリストの三上洋氏はSQLインジェクションについて「攻撃がSQLインジェクションによるものであれば、Webアプリケーションに甘さがあった可能性は否定できない」と説明する。

アスカのシステム担当者によれば、SQLインジェクションは「かなり古風な手法」。「HPのセキュリティ面は外注のサービスに一任しており、SQLインジェクションによる攻撃は当然対策されているものだという思い込みがあったため、SQLインジェクションに対する対策の有無は確認したことがなかった」という。

また、アスカへのサイバー攻撃の直後、インターネット上の掲示板には犯行声明とみられる投稿があった。「SQL、3万件以上ありました」という文言とともに、個人情報が記載されたファイルがアップロードされた。

※編集部註:初出時、アスカがSQLインジェクションを受けた原因について三上氏は「データベース設計の甘さがあった可能性がある」と推測していましたが、「Webアプリケーションの甘さ」に訂正しました。(7月15日14時10分追記)
  ※編集部註:初出時、SQLインジェクションの事例として2011年のソニーの個人情報流出問題を記載していましたが、その後SQLインジェクションによる流出ではなかったことが判明したため、その記載を削除しました。(7月16日21時47分追記)