WORKS導入事例

会社

首都圏を中心に人材派遣業を行う会社です。WEB媒体を使って求人募集をかけて、WordPressで構築した会員募集システムにて、応募時の入力内容や連絡メールなどを管理していました。

経緯

会員募集システムの会員データが変更されるなど、ハッキング被害が疑われる事象が度々発生していた。このことから、会員募集システムを開発保守していた制作会社にクライアントが相談。以前取引があったことから、制作会社から弊社へ被害調査のご相談がありました。

事象

WordPressで構築した会員募集システムで管理画面の登録情報の一部の項目が特定の会員の情報に書き換わる事象が数件発生していました。不正アクセスによりデータが書き換えられているのではないか調査を行いました。

対象

独自開発したWordPressのプラグイン

調査

フォレンジック調査を実施。閉鎖環境に再現環境を構築し、既存コードのデバックおよびデータベース、アクセスログを解析し、再現調査を行って実証しました。

原因

調査の結果、独自開発プラグインの複数の不具合が原因と分かりました。また特定の会員のメールアドレスに別の会員の応募時の入力内容が送信されていたことも判明しました。閉鎖環境での再現テストを行ったところ、募集フォームが完了画面に遷移した後に、もう一度確認画面に戻って2重送信できるフォームとなっており、2重登録時のデータの1件が、データベースに保存されていた特定の会員のメールアドレスと紐づいて、応募時の入力内容が特定の会員のメールアドレスに送信されることがわかりました。これは、登録時のセッション管理と排他制御の欠陥により、同じセッションで2重に登録要求が送信でき、さらにデータ登録処理でのデータベース参照処理と整合性チェック処理にも不備があり、正常に登録処理が行えなかった片方の要求がデータベースの状態から必ず取得される特定の会員のデータと紐づいて登録されるるためでした。

対処

調査で判明した情報漏洩者へ個別に謝罪を要請し、原因となったコードの改修と自作プラグインの全機能の再テストを制作会社に指示、システム要件を考慮したサーバ構成の見直しや監視保守の導入などの提言を行いました。