目次

  1. 矢野経済研究所が確認した不正アクセス
  2. SQLインジェクション(injection)とは
  3. 漏えいした可能性のある個人情報
  4. 再発防止策と問い合わせ窓口

 矢野経済研究所の公式サイトによると、6月13日に取引先から個人情報漏えいの可能性についての問い合わせがあったことがきっかけでした。

 調査を進めたところ、6月6日に市場調査レポートなどの商品販売や閲覧サービスを提供しているWEB関連システムに外部からSQLインジェクションによる不正アクセスがあったことを確認したといいます。サイトは閉鎖され、ログインパスワードは初期化されました。

 矢野経済研究所は24日時点で、個人情報の不正利用などは確認されていないと説明していますが、ほかのサービスとパスワードを共通にしている場合などは注意しましょう。

 情報処理推進機構(IPA)によると、 ウェブサービスの多くは、利用者からの入力情報をもとにデータベースへの命令文(SQL文)を組み立てています。攻撃者がウェブサービスの脆弱性を悪用した場合、不正なSQL文が作成され、「注入(injection)」されることで、データベースの不正利用を許してしまいます。

 こうした攻撃を、「SQLインジェクション攻撃」と呼びます。

SQLインジェクションのイメージ

 不正アクセスにより、漏洩した可能性のある個人情報は、YRI WEBメンバーおよびYDB会員のメールアドレスと暗号化されたログインパスワードで、最大で10万1988件に上るといいます。

 ただし、クレジットカード情報は保有していないため漏れていないといいます。また、取材・アンケート等の調査活動や受託調査・コンサルティングに関する機密情報等の情報は、別システムで保管・管理していたといいます。

 矢野経済研究所は再発防止策として、脆弱性防御ツールや、脆弱性管理ツールの導入を進めています。自社サイトも一時閉鎖しています。サービス利用などの問い合わせは、矢野経済研究所の情報セキュリティ管理室個人情報相談窓口へ。