不動産会社への深刻なサイバー攻撃事例｜SQLインジェクションで顧客情報流出の実態とは

2025年5月、東京の不動産会社がサイバー攻撃を受け、顧客の個人情報が大量に漏洩したという深刻な事例が報告されました。現役のCSIRTメンバーとして、この事例から見えてくる中小企業のセキュリティリスクについて解説していきます。

事件の概要：不動産会社を狙った巧妙なサイバー攻撃

今回標的となったのは、東京都目黒区に所在する株式会社ウィル・ビーという不動産会社です。ハッカーがハッキングフォーラムで攻撃を公言し、実際に以下の情報が流出したとされています：

特に注目すべきは、これらの情報が2024年12月時点のデータだということです。つまり、攻撃者は長期間にわたって不正アクセスを続けていた可能性が高いのです。

技術的な観点から見ると、今回の攻撃はmysqlデータベースからの情報窃取であり、SQLインジェクションまたはPHPの脆弱性を突いた攻撃と推測されます。

SQLインジェクションとは、Webアプリケーションのデータベースへの入力処理に不備があることを利用して、データベースを不正に操作する攻撃手法です。不動産会社のWebサイトでは、物件検索機能や顧客情報の管理システムなど、データベースと連携する機能が多数存在するため、格好の標的となりやすいのです。

なぜ中小企業の不動産会社がサイバー攻撃の標的になるのでしょうか？フォレンジック調査の経験から、以下の要因が考えられます：

大企業と比べて、中小企業はIT予算が限られており、セキュリティ対策が後回しになりがちです。特に不動産業界では、従来からの営業スタイルが重視され、ITセキュリティへの意識が低い傾向があります。

不動産会社は顧客の詳細な個人情報（年収、勤務先、家族構成など）を保有しており、これらの情報は闇市場で高値で取引されます。

長年使用している顧客管理システムやWebサイトは、セキュリティアップデートが適切に行われていない可能性があります。

私がフォレンジック調査を担当した類似事例では、以下のような被害が確認されています：

特に不動産業界では、顧客との信頼関係が極めて重要であり、一度情報漏洩が発生すると、長期間にわたって事業に影響を与えることになります。

中小企業の経営者や個人事業主の方々に向けて、実践的なセキュリティ対策をご紹介します：

まず基本となるのが、信頼性の高いアンチウイルスソフトの導入です。単なるウイルス対策だけでなく、不正アクセスの検知機能やWebサイトの脆弱性スキャン機能を持つ製品を選ぶことが重要です。

リモートワークや外出先からの業務システムへのアクセスには、必ずVPN を使用しましょう。通信内容を暗号化することで、情報漏洩のリスクを大幅に軽減できます。

OSやWebブラウザ、業務アプリケーションは常に最新版にアップデートしてください。セキュリティパッチが適用されていないソフトウェアは、攻撃者にとって格好の標的となります。

技術的な対策だけでなく、従業員一人ひとりのセキュリティ意識向上も重要です。フィッシングメールの見分け方や、パスワード管理の重要性について定期的に教育を行いましょう。

万が一、サイバー攻撃を受けた場合の対応について、CSIRT担当者の視点から重要なポイントをお伝えします：

今回の不動産会社への攻撃事例からも分かるように、中小企業であってもサイバー攻撃の標的となるリスクは決して低くありません。しかし、適切な対策を講じることで、このようなリスクを大幅に軽減することができます。

特に重要なのは、「自社は狙われない」という認識を改め、積極的にセキュリティ対策に取り組むことです。初期投資は必要ですが、情報漏洩による損失と比較すれば、決して高い投資ではありません。

皆様の大切な事業と顧客情報を守るために、今日からでも実践できるセキュリティ対策を始めてみてください。