2024年5月24日、積水ハウスは同社が運用する住宅購入者向けの会員制Webサイトがサイバー攻撃を受け、顧客情報などが流出したと公表しました。ここでは関連する情報をまとめます。
被害ページは運用終了から13年公開継続
- 不正アクセスの被害にあったのは、積水ハウスが戸建てやマンションの住宅購入者向けに提供している会員制サイト「積水ハウスNetオーナーズクラブ」。同サイト上で過去に使用していたページが残っており、このページが攻撃を受け登録者の情報などが流出した。
- 攻撃を受けたページは2008年から2011年の4年間、フォトギャラリーとして使用していたもの。当該ページの状況について、同社の広報担当者は当該ページへの動線は存在しないこと、検索エンジンにも引っかからないことより、URLを直接入力しないと接続できない状況にあったと取材に説明。アクセス自体が可能な状態と認識はあったが、使用していないことからメンテナンスを行っていなかった。*1
- 攻撃の事実について、同社は同サイトのアクセス数が急増し、高負荷の状況が継続しているとサーバー管理の業務委託先事業者から報告を受け調査した結果発覚した。*2当該ページが受けた攻撃の種類はSQLインジェクションで、同社はセキュリティ設定の不備が原因であったと説明する。攻撃の結果、データベースよりNetオーナーズクラブ会員として同社が取得していた顧客情報や従業員等の情報が流出した。さらにNet オーナーズクラブが2003年に開設されて以降取得されている全ての顧客などの情報も流出した可能性が否定できないとして対象件数を計上している。*3 それぞれの件数等の詳細は次の通り。
| 対象 | 流出確定件数 | 流出可能性件数 | 該当項目 |
|---|---|---|---|
| Netオーナーズクラブ会員として取得された顧客 | 108,331人 | 464,053 人 | メールアドレス、ログインID、パスワード |
| 現在または過去在籍していた従業員・協力会社スタッフ | 183,590 人 | 72,194 人 | メールアドレス・積水ハウスのシステムログイン用のパスワード |
- 影響を受けた項目にパスワードが含まれているため、同社では他社サイト上で同じパスワードを利用している場合は変更するよう呼びかけを行っている。一方でデータベース上に保存されていたパスワードが平文であったかについて、取材への回答は行わなかった。*4 なお、流出した情報に関係する被害報告は公表を行った24日までに受けていないとしている。
- 攻撃を受け、同社は攻撃を受けたオーナーズクラブの公開を停止。また個人情報保護員会への報告、警察への被害相談、対象の顧客等への連絡を順次行っている。また当該事案に関する専用の窓口を設け問い合わせなどに対応する。
関連タイムライン
| 日時 | 出来事 |
|---|---|
| 2008年~2011年 | 被害にあったページ(フォトギャラリー)を運用していた期間。 |
| 2024年5月21日 | 管理委託先事業者から積水ハウスへ高負荷発生について連絡。 |
| : | 積水ハウスが調査したところ、不正アクセスの被害にあっていたことが判明。 |
| 2024年5月23日午前 | 積水ハウスが被害サイトの公開を停止。 |
| 2024年5月24日 | 不正アクセスによる情報流出について公表。 |
更新履歴
- 2024年5月28日 PM 新規作成
*1:積水ハウスが29万人超の個人情報漏洩、過去のページでセキュリティー設定に不備,日経クロステック,2024年5月27日
*2:積水ハウス、サイバー攻撃で約29万人分情報漏洩 ほかに53万人分もか 会員制サイトで,産経新聞,2024年5月24日
*3:積水ハウス、顧客10万人超の個人情報漏洩 会員制サイトにサイバー攻撃 従業員ら18万人分も流出か,読売テレビ,2024年5月24日
*4:積水ハウスにサイバー攻撃 約30万件の情報漏えい、パスワードも 流出疑いも50万件超【追記あり】,ITmedia,2024年5月24日
