情報通信業の「ケイ・オール」社で、Webサイトが第三者による不正アクセスを受け、一時的に意図しないページが表示される事態が発生した。
同社は2025年3月4日に問題を把握。
Webサイトを一時的に非公開とした上で、初動対応を実施している。
同社によると、不正アクセスの直後に、ケイ・オールとは無関係の第三者から一部の顧客宛に「同社から個人情報が流出した」との内容を記したメールが送信される事態が確認された。
さらに同社が有償で導入していたWeb設置型のメール配信エンジンに対し、クロスサイトスクリプティング(XSS)と呼ばれる攻撃手法が使用された可能性が高いことも判明している。
なお、当該エンジンは脆弱性が確認されていないバージョンであり、提供元の修正指示にも対応済みであった。
サーバーについても複数のセキュリティ機能を設定していたが、提供事業者側でXSSの新たな攻撃手法への対応がなされておらず、結果的に被害を防げなかったという。
これにより、顧客情報の一部が外部に流出した可能性があるという。
流出の可能性がある情報は、顧客の社名、氏名、メールアドレス、郵便番号、住所などが該当するとのこと。
今回の不正アクセスでは、Webサイトと同一のサーバー内に設置されていたメールマガジン配信用ツールが対象となった。
同社は、不正アクセスの発覚後、Webサーバー上のメール配信ツールおよび関連データの削除を実施。
警視庁サイバー犯罪対策課に被害申告を行ったが、現時点で犯人の特定には至っていない。
なお、調査によりWebサーバーに保存されていた個人情報が実際にダウンロードされた形跡は確認されていない。
今後の対応として、ケイ・オールはWeb設置型メール配信エンジンの利用を全面的に中止するとともに、より高いセキュリティレベルを備えたWebサーバーへの移管を完了させたとしている。
また、システムおよびサーバー管理における委託先の選定にも慎重を期し、再発防止策の徹底に努める方針を示している。