2024年第3四半期「Webアプリケーションを狙ったサイバー攻撃検知レポート」を発表 ～個人情報とクレジットカード情報の流出件数で最も多かった業界は食品・飲料製造業～

■2023年7月〜9月と比較してSQLインジェクションが約6,400万件増加


[画像4]https://digitalpr.jp/simg/2575/97441/700_394_20241022141119671733f7278e7.PNG

SQLインジェクションとは、外部からの入力を元にSQL文を動的に作成するサイトやアプリケーションで、意図しない外部入力により悪意のあるSQL文を注入されることによって、不正にデータベースのデータが読み取られたり、データが改ざんまたは削除されたりする攻撃のことです。SQLインジェクションの脆弱性が悪用されると、外部からデータベースを操作され、その結果、データベースに記録されたデータの閲覧や盗難、変更、消去などが行われる可能性があります。2023年7月からの動向を見ると、SQLインジェクション攻撃の検知数が増加傾向にあることが確認できます。特に、検知数は一貫して右肩上がりで増加しており、直近3ヶ月ではその増加が顕著に現れています。


■2024年のクレジットカード情報を伴う個人情報流出（10月11日時点）
※本データは2024年に企業から公表されたクレジットカード情報を伴う個人情報流出の事例を示していますが、流出自体は2020年末から2021年前半に仕掛けられた改ざんが原因となっているケースなども含まれています。

[画像5]https://digitalpr.jp/simg/2575/97441/700_394_20241022141119671733f7226c1.PNG

2024年1月から10月11日時点までに、食品・飲料製造業が他の業種と比較して、被害件数が多いことが明らかになりました。これは、自社でオンラインストアなどのECサイトを運営し、クレジットカード情報を含む大量の顧客個人情報を取り扱っていることが背景にあり、攻撃のターゲットにされやすいと考えられます。
続いて飲食業、卸売業が流出件数が多く、特に飲食業ではクレジットカードの流出件数が目立っています。いずれも自社で運営しているオンラインストアでの流出が要因となり、クレジットカード情報を扱う機会が増えているため、被害が大きくなっていると考えられます。
また、すでに一部のシステムが侵害されている可能性も考慮に入れ、定期的な監視や検査を怠らないことが重要です。使用していないと思っている古いサーバやシステムにおいても、脆弱性を放置せず、バージョンアップやパッチ適用を忘れないように注意が必要です。たとえば、過去に報告されたPHPUnitの脆弱性が依然として狙われているケースが報告されており、こうした古い脆弱性が攻撃されるリスクが存在します。
流出の規模や件数は業種によって異なりますが、業種を問わず情報流出が起きていることから、パッチ適用や脆弱性診断が求められます。特に、クレジットカード情報を取り扱う企業は、PCI DSS（クレジットカード業界のデータセキュリティ基準）準拠の確認を徹底し、顧客情報の保護を強化することが重要です。