パスワードを忘れた? アカウント作成
15554651 story
情報漏洩

日能研、不正アクセスによるメールアドレス流出の可能性。顧客の指摘で気がつく 17

ストーリー by nagazou
流出 部門より
学習塾大手の日能研が29日、同社のWebサイトのサーバーにSQLインジェクションを利用した外部からの不正アクセスが発生。保護者などのメールアドレス最大28万106件が、外部に流出した可能性があると発表した。脆弱性が発生した場所は特定しており、すでに対策を施しているとしている。共同通信などの報道によると迷惑メールが届いているとの相談を受け調査したところ、2021年12月上旬に不正アクセスを受けていたことが判明したという。同社では流出したメールアドレスがフィッシング詐欺などに使われる恐れがあるとして対象アドレスにメールで通知したとしている(日能研共同通信NHK)。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2022年01月31日 14時46分 (#4192859)

    サイバー空間ではガバガバだったんやな

    • by Anonymous Coward

      頑張ってますアピールしやすい「見えやすいセキュリティ対策」には必死になる奴に限って
      こういう被害を受けるまで重要性が理解できないセキュリティはガバガバってのはお約束。

    • by Anonymous Coward

      もしかしてシステムの名前はNシステム?

  • by Anonymous Coward on 2022年01月31日 15時09分 (#4192873)

    20年近く前、日能研に通ってた時に登録した覚えがあるけど、うちのメアドも漏れたのかな?
    確か今も使ってる実家のプロバイダのメアドを登録した気がする。
    謝罪のメールが届いてなかったぞ。

    • by Anonymous Coward on 2022年01月31日 17時04分 (#4192940)

      うちは1月29日 17:39お知らせが来ました。

      本メッセージは、流出した可能性があるメールアドレスに送らせていただいております。

      と書いてあるので、該当しなかったのでは?

      親コメント
    • by Anonymous Coward

      問題ない。
      善意の第三者が「あなたのアドレスが漏れた可能性があります。
      直ちに〇〇サイトにアクセスしてメアドと個人情報を入力してください」
      ってメールを送ってきてくれる。

      # …善意???

  • by Anonymous Coward on 2022年01月31日 16時16分 (#4192912)

    Outlook.comとかGmailならエイリアス作れるから、サービス毎に作って使い分けてたのかな。
    A社から漏れた=A社に登録されたメールアドレス宛に登録してないはずの送信元から来た、とか。

    #この辺りって自分でちゃんとやろうとするとめんどくさいんだよな…

    • by Anonymous Coward on 2022年01月31日 16時27分 (#4192924)

      ウチ、出来る限りエイリアス付けるようにしてるけど、ココは直アドレス宛に案内メールが来たので、エイリアスは登録時に弾く設定になってるサイトなんじゃないかな。
      (登録時に、正しいメールアドレス形式にしてください、と蹴られるサイトはよくある。)

      親コメント
      • by Anonymous Coward

        そもそもエイリアスによる対策の実効性ってどうなんでしょうね。
        名簿業者?もエイリアスぐらい認識してるでしょうから、
        エイリアスを外してリストを加工できるでしょうし。

        • by Anonymous Coward

          GmailやYahooメールみたいな見ただけでエイリアスだとパターンがわかるのは本体のメアドを推測できるけど、それ以外は無理じゃない。

        • by Anonymous Coward

          エイリアス文字を + じゃなくしているサイトもあります。

          「アカウント名.<適当な文字列>@ドメイン名」って宛先にすると<適当な文字列>を
          無視して、そのアカウント名で設定している別メールアドレスへ送付するところとか。

          「.」は普通に使われる文字種なので、ほぼエイリアスとは判断できない。
          # よう考えるもんだ、と思ったことが。

        • by Anonymous Coward

          登録する際に付けたエイリアスが付いていれば特定フォルダに移動するフィルタ書いて、
          何も付いていない物含め「それ以外のメアド宛」に届いたものはゴミ箱送りにすれば結構有効。

          +の文字を登録させないサービスでは使えないけど、それはFromアドレスで別のフィルタを書くか、
          もしくはそんなに読む価値ないので一緒にゴミ箱送りにするかで大丈夫。

    • by Anonymous Coward

      某企業の開発者合同セミナーに参加してから、迷惑メールが来続けた事があったな、
      そのエイリアス宛てに結構な迷惑メールが来るようになった。
      ゴミ箱に送るのに苦は無かったが、共催の会社にもメアド公開されるから漏洩ポイントが結局よく分からんかったっていう。

      マメに+なんちゃら@とかやってるのは変人には一定数いると思う。

  • by Anonymous Coward on 2022年01月31日 16時37分 (#4192928)

    オンラインの穴があれば少なからずこういうリスクがあるのに、全く無知で招いた事件

  • by Anonymous Coward on 2022年01月31日 17時02分 (#4192939)

    内部犯行とかじゃなく古典的とも言えるSQLインジェクションってのが、情けないを通り越して無様。

    • by Anonymous Coward

      サンリオエンターテイメントも去年SQLインジェクションでメールデータ漏洩しているんだよね。
      サンリオ役員的にはあまり大した被害と思っていない感じ。

typodupeerror

私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike

読み込み中...