どもサピパパです。日能研やっちまいましたね。
学習塾大手の日能研(横浜市)は29日、ホームページに不正アクセスがあり、中学受験のため通ったり、テストを申し込んだりした子どもの保護者らのメールアドレス最大28万106件が、外部に流出した可能性があると発表した。他の個人情報は含まれないが、フィッシング詐欺などに使われる恐れがあるとして対象アドレスにメールで通知した。
日能研によると、迷惑メールが届いているとの相談を受け調査し、2021年12月上旬に不正アクセスを受けたと判明。
Yahoo!ニュース
うちも無料だと思って日能研のテストに申し込んでいました。Nポータルからお知らせメールが来たりします。これ問題は28万件のメールアドレスを持っているということにもあります。28万件だと、(いつからか分かりませんが)ずっとメアド情報を消してないですね。卒塾した方の分まで持っていると思って間違いないでしょう。
今回流出した可能性がある情報は、不正アクセス内容を調査した結果、メールアドレスに限定されており、氏名、住所、電話番号、生年月日、口座情報、成績情報、志望校情報などは含まれておりません。また当社が管理するWEB上のページについては1月11日に不正アクセスを覚知した直後にすべてのページを対象にアクセス制御を強化すべく脆弱性箇所を特定した上ですでに対策を施しております。
中略
手段:SQLインジェクションを利用した外部からの不正アクセス
日能研ホームページ
時期:12月上旬
流出がメールアドレスだけというのが不幸中の幸いです。パスワードも持っていかれたりしていたらえらいことになってます。
とはいえ、こういう情報セキュリティをしっかりしているかという点も、学習塾では重要ではないでしょうか。そもそも中学受験するようなご家庭は、相対的に所得が高いと思われます。社会的地位も平均以上の親がお子さんを通わせているといえます。そのような方々のメールアドレス28万件となると、かなり価値がありますね。
しかも手段がSQLインジェクションとは、呆れます。IPAでもSQLインジェクションは当たり前のように、当然のものとして対策している項目となっています。システム会社はどこなんでしょうか。
日能研を取引先とするシステム会社を検索すると株式会社エヌ・ティ・エスや株式会社アドバンストインターナショナルなどが出てきます。※ただし、ここが今回のシステムを構築しているとは断定できません。
日能研によると2022年1月29日以降、被害の対象者には順次メールにて連絡するとのこと。ちなみにうちにはまだ連絡は来ていません。連絡を待ちましょう。卒塾してもう関係がない方は、日能研に連絡して個人情報全般を消してもらうよう直接依頼するのが良いでしょう。
コメント