人材派遣会社アデコのWebサイトが2005年1月18日から6月2日まで不正アクセスされた可能性がある事件の概要が明らかになった(経緯は同社のサイトを参照)。クラッカは,Webアプリケーションの脆弱性を突く「SQLインジェクション」を利用し,Webサイトから申し込みをした利用者の個人情報を不正に入手した。奪われた個人情報は,氏名,住所,電話番号,生年月日,メール・アドレスで,最大6万1876件に上るという。

 SQLインジェクションとは,Webアプリケーションの実装上の不備(不正な入力値を検出して無害化する処理の漏れ)を突く攻撃。2005年になり,この手口による攻撃が相次いでいる。

 アデコによると,6月16日にWindows 2000ベースで構築していたWebサイトの性能が低下するなど動作が不安定になったことから社内で調査した。その結果,不正アクセスの痕跡を見つけたという。同社は直ちにWebサイトを閉鎖し,自社および外部業者と共同でログの解析を開始した。この結果,動作が不安定になった要因は不正アクセスによるものであったと判明した。また,6月27日に,調査を依頼していた外部業者からの報告により,個人情報が流出した可能性があることが判明したという。基幹システムのデータベースに含まれる72万件の情報は無事だった。

 同社は,6月29日に人材派遣を監督する厚生労働省に報告するとともに,赤坂警察署に被害届けを提出した。奪われた個人情報が第三者により不正使用されたとの連絡は,現時点(6月29日午前11時)では受けていないという。同社では,個人情報が流出した可能性のある利用者に通知する作業を進めている。また,安全性が確保できるまで,Webサイトの再開は見合わせる予定だ。

(実森 仁志=日経システム構築)