学習塾大手の日能研が29日、同社のWebサイトのサーバーにSQLインジェクションを利用した外部からの不正アクセスが発生。保護者などのメールアドレス最大28万106件が、外部に流出した可能性があると発表した。脆弱性が発生した場所は特定しており、すでに対策を施しているとしている。共同通信などの報道によると迷惑メールが届いているとの相談を受け調査したところ、2021年12月上旬に不正アクセスを受けていたことが判明したという。同社では流出したメールアドレスがフィッシング詐欺などに使われる恐れがあるとして対象アドレスにメールで通知したとしている(日能研、共同通信、NHK)。
Nセキュリティ (スコア:1)
サイバー空間ではガバガバだったんやな
Re: (スコア:0)
頑張ってますアピールしやすい「見えやすいセキュリティ対策」には必死になる奴に限って
こういう被害を受けるまで重要性が理解できないセキュリティはガバガバってのはお約束。
Re: (スコア:0)
もしかしてシステムの名前はNシステム?
漏れた期間が書いてない (スコア:0)
20年近く前、日能研に通ってた時に登録した覚えがあるけど、うちのメアドも漏れたのかな?
確か今も使ってる実家のプロバイダのメアドを登録した気がする。
謝罪のメールが届いてなかったぞ。
Re:漏れた期間が書いてない (スコア:1)
うちは1月29日 17:39お知らせが来ました。
本メッセージは、流出した可能性があるメールアドレスに送らせていただいております。
と書いてあるので、該当しなかったのでは?
Re: (スコア:0)
問題ない。
善意の第三者が「あなたのアドレスが漏れた可能性があります。
直ちに〇〇サイトにアクセスしてメアドと個人情報を入力してください」
ってメールを送ってきてくれる。
# …善意???
どうやってユーザーは気づいたか? (スコア:0)
Outlook.comとかGmailならエイリアス作れるから、サービス毎に作って使い分けてたのかな。
A社から漏れた=A社に登録されたメールアドレス宛に登録してないはずの送信元から来た、とか。
#この辺りって自分でちゃんとやろうとするとめんどくさいんだよな…
Re:どうやってユーザーは気づいたか? (スコア:1)
ウチ、出来る限りエイリアス付けるようにしてるけど、ココは直アドレス宛に案内メールが来たので、エイリアスは登録時に弾く設定になってるサイトなんじゃないかな。
(登録時に、正しいメールアドレス形式にしてください、と蹴られるサイトはよくある。)
Re: (スコア:0)
そもそもエイリアスによる対策の実効性ってどうなんでしょうね。
名簿業者?もエイリアスぐらい認識してるでしょうから、
エイリアスを外してリストを加工できるでしょうし。
Re: (スコア:0)
GmailやYahooメールみたいな見ただけでエイリアスだとパターンがわかるのは本体のメアドを推測できるけど、それ以外は無理じゃない。
Re: (スコア:0)
エイリアス文字を + じゃなくしているサイトもあります。
「アカウント名.<適当な文字列>@ドメイン名」って宛先にすると<適当な文字列>を
無視して、そのアカウント名で設定している別メールアドレスへ送付するところとか。
「.」は普通に使われる文字種なので、ほぼエイリアスとは判断できない。
# よう考えるもんだ、と思ったことが。
Re: (スコア:0)
登録する際に付けたエイリアスが付いていれば特定フォルダに移動するフィルタ書いて、
何も付いていない物含め「それ以外のメアド宛」に届いたものはゴミ箱送りにすれば結構有効。
+の文字を登録させないサービスでは使えないけど、それはFromアドレスで別のフィルタを書くか、
もしくはそんなに読む価値ないので一緒にゴミ箱送りにするかで大丈夫。
Re: (スコア:0)
某企業の開発者合同セミナーに参加してから、迷惑メールが来続けた事があったな、
そのエイリアス宛てに結構な迷惑メールが来るようになった。
ゴミ箱に送るのに苦は無かったが、共催の会社にもメアド公開されるから漏洩ポイントが結局よく分からんかったっていう。
マメに+なんちゃら@とかやってるのは変人には一定数いると思う。
なぜ分けないのか (スコア:0)
オンラインの穴があれば少なからずこういうリスクがあるのに、全く無知で招いた事件
手口が (スコア:0)
内部犯行とかじゃなく古典的とも言えるSQLインジェクションってのが、情けないを通り越して無様。
Re: (スコア:0)
サンリオエンターテイメントも去年SQLインジェクションでメールデータ漏洩しているんだよね。
サンリオ役員的にはあまり大した被害と思っていない感じ。