情報セキュリティリスク


ログイン情報が盗まれた

 ある日、ウェブサイト管理者のAさんの所に利用者からメールが届きました。「最近、ページ下部にアンケートが多くて煩わしいので、元に戻してもらえませんか。」とありました。管理者Aさんは全く心当たりがなかったので、ウェブサイトを開いて確認すると、どのページにもアンケートフォームがあるではありませんか。
ウェブサイトの運営は社内でAさんだけが行っていたので、ウェブサイトが改ざんされたと気がつきました。コードを解析するとアンケートの情報は外部の〇〇〇@△△△.jpに送信されていました。ウェブサイトの内容を改ざんされているだけではなく、利用者の情報が外部に漏れていたのです。
その後、ウェブサイトのログイン情報を修正しページを元に戻しました。利用者にも注意喚起をしましたが、利用者からの信用を失ってしまい会員が約30%も退会する被害が起きてしまいました。

ウェブサイトの改ざん

ログイン情報が漏れてしまった原因

ログイン回数の制限がなかった

サーバーのログを後に確認してみたところ、サイトを改ざんした人は約10回に渡りログインを試みようとしていました。ログイン回数の制限を設けていなかったために何度も繰り返しチャレンジすることを許してしまい結果として不正侵入を許してしまったのです。

ログインIDとパスワードが類似した文字列だった

Aさんは会社のログインIDは社員コード(メールアドレスでも使用)をそのまま使用していました。またパスワードはAさんの社員コードに誕生日4桁を加えた安易なものでした。どこからかAさんのメールアドレスを侵入者が入手しランダムにパスワードを試した所、侵入できたと思われます。

被害者であると同時に加害者になる

今回の事例で分かるように、ウェブサイトが改ざんされると、サイトの内容を勝手に変更されるという被害を受けるだけでなく、利用者の情報が外部に漏れることがあります。運営者は被害者であると同時に加害者にもなってしまうのです。利用者はこのサイトを利用すると情報流出するかもしれないと思うので、サイトから離れるのは当然です。サイト利用しなくなるだけではなく、不正請求などの被害が発生すると損害賠償責任を問われる事態にも発展する事があります。責任を持って管理しましょう。

コンタクト情報

Topics

Top