2025年5月プリント基板の試作実装などを行う株式会社ケイ・オールは同社は3月に発生したWebサイトに対する不正アクセス事案について、、続報として原因や対応策を発表しました。今回のインシデントでは、一部の顧客情報が流出した可能性があり、同社は被害拡大の防止と再発防止に向けた措置を講じています。
不正アクセスの概要と初動対応
不正アクセスは2025年3月3日深夜に発生し、一時的にWebサイト上に意図しないページが表示されました。その後、第三者から「個人情報が流出した」との通知が一部顧客宛に送付され、事態が明らかになりました。
翌3月4日には同社が事実確認を行い、サイトを復旧。影響が懸念される顧客にはメールで注意喚起を行い、3月11日にはWebサイト上でも状況を公表しました。
XSSを利用した新手法での攻撃か
警視庁サイバー犯罪対策課への被害申告後の調査により、攻撃はメール配信エンジンのファイルを経由した不正アクセスであった可能性が高いことが判明しました。使用されていたエンジンは、既知の脆弱性がないバージョンであり、提供元からの修正対応も実施済みでしたが、2025年2月に確認された新たな手法「XSS(クロスサイトスクリプティング)」を悪用された可能性が高いとのことです。
サーバー間の分離と情報流出の抑止
同社によると、不正アクセスを受けたWebサーバーに保存されていた個人情報が実際にダウンロードされた痕跡は確認されていないといいます。また、メールサーバーや業務用データサーバーは別会社の物理的に分離された環境で運用されており、安全性が確保されていることも報告されています。
今後の対策と再発防止策
今回の事態を受けて、ケイ・オールは以下のような対策を講じました
-
不正アクセスを受けたメール配信エンジンの即時削除
-
今後、Web設置型メール配信エンジンの全面使用停止
-
より高セキュリティなWebサーバーへの移行完了
-
システム・サーバー管理および委託先選定の見直し強化
XSSとは?
XSS(クロスサイトスクリプティング)とは、Webサイトに悪意あるスクリプトを埋め込む攻撃手法です。攻撃者は、脆弱なWebページにスクリプトを挿入し、閲覧者のブラウザ上でそのスクリプトを実行させることで、Cookieやセッション情報の窃取、偽フォームへの誘導、フィッシングなどを行うことが可能になります。
XSSの対策
XSSの対策としては、以下のような技術的措置が重要です:
- 入力値のサニタイズ(無害化)および出力時のエスケープ処理
- HTTPレスポンスヘッダでのContent Security Policy(CSP)の適用
- JavaScriptの利用制限やDOMベースXSSへの注意
- フォームやURLのパラメータ検証
開発時にセキュリティテストを徹底し、既存アプリケーションについても脆弱性スキャンを定期的に実施することが、攻撃を未然に防ぐ上で極めて重要です。
参照
https://www.kei-all.co.jp/news/news-7472/
