河合楽器 国際ピアノコンクールの参加申込サイトから情報漏洩

株式会社河合楽器製作所によると、同社が運営する「第1回Shigeru Kawai 国際ピアノコンクール」ウェブサイト(https://skipc.jp/)において、コンクール参加申込者の個人情報が閲覧可能な状態になっていたことが判明したと発表しました。

【経緯】

2017年4月6日(木)、同社のお客様相談室に、当該サイトにおいてある特定の操作を行なうことにより、個人情報が閲覧できるとの指摘があり発覚。

調査を行なったところ、同様の操作を行なうことで、コンクール参加申込者の個人情報を第三者が閲覧できることが判明いたしました。

【対象期間】

2017年1月11日(水)~ 4月6日(木)午前9時10分まで

【漏洩した情報】

<対象者>     第1回Shigeru Kawai 国際ピアノコンクールの参加申込サイトからの
          コンクール参加申込者 260名分
<個人情報の内容> 参加申込者の身分証明書データ(運転免許証・パスポートなど)
          および顔写真データ

現状ではWebサーバーを停止し、第三者が当該情報を閲覧できないよう当該サイトのプログラムを修正。現時点では、該当する参加申込者からの被害報告や不正利用の情報は入っておりませんとのことです。なお、同社では当該参加申込者に対しましては、書面にてご説明しお詫びしますとしています。

【本件のお問合せ先】

■一般の方は

〒430-8665 静岡県浜松市中区寺島町200
株式会社河合楽器製作所 お客様相談室 Tel.053-457-1311

■ 報道関係の方は

〒430-8665 静岡県浜松市中区寺島町200
株式会社河合楽器製作所 総合企画部 広報課
Tel.053-457-1226 Fax.053-457-1225

詳細;株式会社河合楽器製作所


本件では具体的な攻撃手法を明記しておりませんが特定の操作でWebサイトから情報漏洩させる方法としてはフォームなどの入力窓にコマンドを入力するSQLインジェクションなどが多いです。こういった攻撃手法は基本的な対策で対応可能であり、サイトの発注者には通常は知識がないので、サイトを制作している担当者がきちんと管理していないといけません。最近は、単にきれいなサイトを作るだけではなく、セキュリティも一緒に担保できる制作技術が問われます。

<