積水ハウス「積水ハウス Net オーナーズクラブ」へサイバー攻撃 約10万人の個人情報漏洩

2024年5月24日 積水ハウス株式会社は、同社が運営する会員制サイト「積水ハウス Net オーナーズクラブ」の過去ページの設定でセキュリティ設定の不備を突いたサイバー攻撃を受け、10万人の個人情報漏洩と漏洩の可能性がある40万人分の個人情報が存在する事を発表しました。

個人情報漏洩の経緯

5月21日サーバー業務を委託している業者から、弊社「積水ハウス Net オーナーズクラブ」のア
クセス数が急激に増加し、高負荷の状況が続いているとの連絡を受ける。

・調査を行った結果、2008 年～2011 年に実施したフォトギャラリーで使用し、現在は運用していないページでセキュリティ設定に不備があり、データベースを操作するための言語を用いたサイバー攻撃を受けたことにより、当該サイトのデータベースから顧客のメールアドレス・ログイン ID・パスワード及び積水ハウスグループ従業員等のメールアドレスと弊社システムへのログイン時に使用するパスワードが漏洩した事が判明

・当該サイトは 5 月 23 日午前中に運用を停止し、現在はアクセスできない状態に設定。
・本件に関しては、同社より個人情報保護委員会への報告と警察への相談を行うとともに、顧客に順次、連絡を開始。

不正アクセスの原因

フォトギャラリーページへのSQLインジェクション攻撃

漏洩した顧客の個人情報

積水ハウス Net オーナーズクラブ会員として積水ハウスが取得した顧客の以下情報

・メールアドレス

・ログインID

・パスワード

個人情報が漏洩した人数：108,331 人
漏えいの可能性を否定できない人数：464,053 人

漏洩した従業員や協力会社スタッフの個人情報

現在または過去に在籍していた積水ハウスグループ従業員・協力会社スタッフの以下情報
・メールアドレス

・パスワード

個人情報が漏洩した人数：：183,590 人
漏えいの可能性を否定できない人数：72,194 人

引用：住宅オーナー様等向けの会員制サイトにサイバー攻撃を受けたことによる
お客様情報等の外部漏えいについて

「積水ハウス Net オーナーズクラブ」の開発ベンダーは不明

現時点では、開発ベンダーは不明です。

なお、過去にはBIPROGY（旧日本ユニシス）社が開発したシステムに不具合が発生し、個人情報が漏洩しています。

過去発生した個人情報漏洩事件

積水ハウスは2023年11月28日、システム開発用のクラウドサーバーが不正アクセスを受け、顧客情報が漏洩したと発表しており、原因は外部業者のBIPROGYの設定不備としています。

漏洩した情報

・同社が2023年に取得した顧客の氏名や建築地住所、図面が2件、それらの物件を担当した同社従業員の氏名12件

・同社が2001年から2023年の間に取得した顧客の氏名と建築地住所が1万1707件、氏名のみが1万5682件、それらの物件を担当した同社従業員の氏名が7184件