個人情報保護委員会はSQL(エスキューエル)インジェクション攻撃により会員の個人情報が流出したイジェン、ドジョンハウジング、レジャープラスの3事業者に対し、総額1億7,760万ウォンの課徴金と540万ウォンの過料を科した。
個人情報委は前日に全体会議を開き、この結果を公表することを議決したと21日に明らかにした。
SQLインジェクション攻撃とは、検索、ログイン、掲示板などウェブサイトの入力欄に「SQLコード」を入力して特定の命令を実行させる攻撃手法である。ハッカーはこの過程を通じてログイン回避、データ窃取などを行うことができる。
オンライン教育コンテンツサービス企業であるイジェンは2021年8月から2024年8月までの3年間、ホームページを対象にしたSQLインジェクション攻撃により会員6万9,930人の氏名、電話番号、メールアドレスなどの個人情報が流出し、テレグラムに掲示された。このうち半数を超える3万5,454人(50.7%)は暗号化されていない住民登録番号が流出した。
調査の結果、イジェンがSQLインジェクション攻撃に対する脆弱性の点検・措置および個人情報流出試行の検知・遮断を疎かにしていた事実が判明した。住民登録番号の暗号化措置の不備、個人情報流出の通知・申告を遅延した事実も確認された。これを受け、個人情報委はイジェンに課徴金6,060万ウォンと過料540万ウォンを科した。
建築専門企業であるドジョンハウジングも2023年12月にハッカーのSQLインジェクション攻撃により会員3万3,879人のID、パスワード、名前、電話番号などの個人情報が流出し、テレグラムに掲載された。
ドジョンハウジングはSQLインジェクション攻撃を事前に検知・遮断するシステムを運用せず、脆弱性の点検・措置を不十分に行っていたことが明らかになった。会員パスワードの暗号化措置の不備、データベース(DB)接続記録の管理不徹底なども追加で確認された。個人情報委はドジョンハウジングに課徴金5,580万ウォンを科した。
ゴルフ場予約プラットフォームサービスを運営するレジャープラスは2024年9月と10月の二度にわたるSQLインジェクション攻撃により、会員16万807人の顧客名、携帯電話番号、パスワードなどの個人情報が流出した。個人情報委によると、レジャープラスはSQLインジェクション攻撃の脆弱性管理を疎かにし、個人情報流出の試行を事前に検知できなかった。会員パスワードの暗号化措置も不十分だった。個人情報委はレジャープラスに課徴金6,120万ウォンを科した。
個人情報委は「SQLインジェクション攻撃は、多くの情報が保存されたデータベースが直接攻撃を受けるという点で、大量の個人情報流出につながるリスクが高い」とし、「今回の調査結果を踏まえ、事業者の予防手引を策定して提供する」と述べた。