MSコンサルで会員情報6000件流出か　設定ミスが原因

市場調査・コンサルティングを手掛ける東証マザーズ上場のMS&Consulting（エムエス・アンド・コンサルティング）は2018年5月14日、子会社が運営するサイトが不正アクセスされ、6119人分の会員情報が流出した可能性があると発表した。原因はセキュリティー製品「WAF（ウェブ・アプリケーション・ファイアウオール）」の設定ミスとしている。

流出した可能性があるのは小売店への覆面調査サービス「ミステリーショッピングリサーチ」のモニター会員情報で、メールアドレスや電話番号、同サービスへのログインに使うパスワードが含まれる。

不正アクセスを受けたのは 5月2日の午前2時13分から午後1時25分まで。何者かが同社の海外子会社が運営するモニター登録用のウェブサイトにあった脆弱性を突き、日本国内にある同社のデータベースに不正アクセスした。URLの引数に不正なSQL文を埋め込んでデータベースからデータを引き出す「SQLインジェクション」の手口を使った。

同社はWAFを導入している。本来はWAFを適切に設定すればSQLインジェクションを遮断できたが、「WAFの設定を誤り、遮断できなかった」（広報）。

5月10日に海外子会社のウェブサーバーのログを確認した際に不正アクセスに気づき、翌11日にかけてウェブサーバーのソフトウエアの脆弱性を修正。5月12日に改めて関連するシステム全体のログを確認した結果、会員情報が流出した可能性が判明し、5月13日夜までにWAFの設定を正しく変更した。

同社は事態を公表したニュースリリースで「モニターおよび関係者に多大なるご迷惑とご心配をおかけし、心より深くお詫び申し上げます」と謝罪した。

（日経 xTECH/日経コンピュータ　金子寛人）

［日経 xTECH 2018年5月14日掲載］