【WAFがあれば防げた!】サイバー攻撃事例5選|SQLインジェクション・パスワードリスト攻撃等の実例と対策

Webサイトへのサイバー攻撃は、WAF(Web Application Firewall)があれば防げたケースが数多く存在します。特にSQLインジェクション・サイト改ざん・パスワードリスト攻撃は、WAFが対応する代表的な脅威です。

本記事では、国内企業の実際の被害事例をもとに、各攻撃の手口とWAFによる防御効果を解説します。自社のリスクを把握し、適切な対策を検討するための参考にしてください。

 

WAFで防げるサイバー攻撃とは

Webアプリケーションへの攻撃は多様化していますが、WAFが有効に機能する攻撃と、別の対策との組み合わせが必要な攻撃があります。攻撃ごとの防御効果を把握することが、適切なセキュリティ対策の第一歩です。

以下の表に、代表的な攻撃種別とWAFによる防御可否をまとめました。

攻撃種別 WAFで防御できるか 主な被害
SQLインジェクション ◎ 検知・遮断 情報漏えい・DB不正操作
XSS(クロスサイトスクリプティング) ◎ 検知・遮断 サイト改ざん・Cookie窃取
パスワードリスト攻撃 △ レートリミット・ボット対策と併用 不正ログイン・なりすまし
OSコマンドインジェクション ◎ 検知・遮断 サーバー乗っ取り
DDoS攻撃 △ WAAP型WAFで対応可能 サービス停止

 

SQLインジェクションやXSSなどのアプリケーション層の攻撃については、WAFが不正なリクエストをリアルタイムで検知・遮断することで高い防御効果を発揮します。一方、パスワードリスト攻撃は「正規のID・パスワードを使ったログイン」であるため、WAF単体での判別には限界があり、多要素認証(MFA)やボット対策との併用が推奨されます。

ペンタセキュリティのCloudbric WAF+は、WAF機能に加えてボット対策・DDoS防御・API保護を統合したWAAP(Web Application and API Protection)型クラウドWAFとして、こうした複合的な脅威に備えることができます。

 

WAFについては、以下の記事で詳しく解説しています。あわせてお読みください。

「セキュリティ対策に有効なWAFとは?仕組みや種類、おすすめ製品を紹介」

 

SQLインジェクション攻撃による情報漏えい事例

SQLインジェクションとは、入力フォームやURLなどに不正な命令文を送り込み、データベースを不正に操作する攻撃です。ここでは実際にあった攻撃事例を2つ紹介します。

 

事例① 積水ハウス(2024年5月)

2024年5月、積水ハウス株式会社の会員制サービス「積水ハウス Net オーナーズクラブ」において、運用終了済みのページに残存していた脆弱性を突いたSQLインジェクション攻撃が発生しました。この攻撃により、メールアドレス、ログインID、パスワードの漏えいが確認され、最大46万人超の顧客情報についても漏えいの可能性が否定できない状況となっています。

使われなくなったページの脆弱性が攻撃の入り口となった事例です。WAFが導入され、適切に運用されていれば、不正なSQL文を含むリクエストを検知・遮断できた可能性があります。

 

事例② 学悠出版株式会社(2025年6月)

愛知全県模試を運営する学悠出版株式会社は、2025年6月30日にSQLインジェクション攻撃による不正アクセスを受け、塾関係者や模試受験者を含む最大約33万件の個人情報(氏名・住所・連絡先等)が漏えいした可能性があると発表しました。不正アクセスは2025年4月下旬に検出されましたが、対象データの一部は暗号化されており、個人の特定には別データベースとの照合が必要な状況です。

公表時点で情報の不正利用は確認されていませんが、教育機関は膨大な個人情報を保有する一方で、セキュリティリソースが不足しがちな傾向にあります。WAFの導入によって不正なSQLリクエストを遮断する仕組みを整えておくことが、こうした被害を未然に防ぐ鍵となったと考えられます。

 

サイト改ざんによる被害事例

Webサイトに悪意あるスクリプトを埋め込み、利用者のブラウザ上で不正な処理を実行させる攻撃です。ここでは実際にあった攻撃事例を2つ紹介します。

 

事例③ 全国漁業協同組合連合会「JFおさかなマルシェ ギョギョいち」(2024年8月)

全国漁業協同組合連合会(JF全漁連)が運営する通販サイト「JFおさかなマルシェ ギョギョいち」では、脆弱性を悪用した不正アクセスによりペイメントアプリケーションが改ざんされ、顧客のクレジットカード情報が攻撃者に継続的に送信される状態になっていました。

2024年5月14日に警視庁からの連絡で発覚しサイトは閉鎖されましたが、2021年4月から2024年5月の間に2万件超の個人情報が流出した可能性があります。このような脆弱性を突いた不正アクセスは、WAFが導入・適切に運用されていれば、不正なリクエストの段階で検知・遮断できた可能性が高いです。

 

事例④ タリーズコーヒージャパン(2024年10月)

タリーズコーヒージャパンのオンラインストアでは、システムの一部の脆弱性を突いた不正アクセスにより、ペイメントアプリケーションが改ざんされました。公式発表では、2020年10月から2024年5月の間に個人情報9万件超が漏えいした可能性があるとされています。

Webアプリケーションの脆弱性を悪用した不正アクセスによる改ざんは、WAFが導入されていれば不審なリクエストの検知・遮断により被害を防げた可能性があります。

 

パスワードリスト攻撃による不正ログイン事例

パスワードリスト攻撃とは、他サービスから流出したID・パスワードを使い、別のWebサービスへログインを試みる攻撃です。ここでは実際にあった攻撃事例を紹介します。

 

事例⑤ エン・ジャパン「エン転職」(2023年3月)

エン・ジャパンが運営する「エン転職」では、2023年3月に外部から不正に取得されたID・パスワードを利用するパスワードリスト攻撃(リスト型アカウントハッキング)が発生しました。発覚後は送信元IPアドレスからの通信をブロックし、全ユーザーのパスワードをリセットしましたが、登録されたユーザーの一部Web履歴書について、職歴や連絡先などの情報が閲覧された可能性があると公表されています。

パスワードリスト攻撃は正規ログインと見分けにくいため、多要素認証(MFA)の導入が根本対策となります。WAAP型のWAFは、ボット検知・レートリミット機能を内包していることが多く、認証強化と組み合わせることで多層防御を実現できるものがあります。

その他のサイバー攻撃事例については、以下の記事で詳しく解説しています。あわせてお読みください。

「【2025年最新】国内外のサイバー攻撃事例10選!対策方法も紹介」

 

WAFで防ぐための具体的な対策

上記の事例に共通するのは、Webアプリケーション層への攻撃が起点になっているという点です。自社のWebサービスを守るために、以下の対策を組み合わせることが推奨されます。

  • WAF(Web Application Firewall)の導入:SQLインジェクション・XSSなどアプリケーション層の攻撃をリアルタイムで検知・遮断する
  • 多要素認証(MFA)の導入:パスワードリスト攻撃による不正ログインを防止する
  • ログイン試行回数の制限:自動化ツールによる大量ログイン試行を抑制する
  • 定期的な脆弱性診断の実施:XSSやSQLインジェクションの脆弱性を事前に検出する
  • ソフトウェア・CMSの最新化:既知の脆弱性を放置せず、パッチを迅速に適用する

 

Cloudbric WAF+は、WAF機能に加えてDDoS対策・ボット対策・API保護を統合したWAAP型クラウドWAFです。専門知識がなくてもマネージドサービスとして導入・運用が可能で、中小企業から大企業まで幅広い規模の組織で活用されています。

 

Cloudbric WAF+については、以下の記事で詳しく解説しています。あわせてお読みください。

「Cloudbric WAF+とは?WAAP対応の6つの機能と選ばれる理由を解説」

 

よくある質問(Q&A)

ここではよくある質問を紹介します。

 

Q1. WAFで防げる攻撃と防げない攻撃の違いは?

WAFはSQLインジェクション・XSS・OSコマンドインジェクションなどのアプリケーション層の攻撃を得意とし、不正なリクエストをリアルタイムで遮断します。一方、パスワードリスト攻撃は正規のID・パスワードを使ったログインのため、WAF単体での判別には限界があります。レートリミット・多要素認証・ボット対策との併用が推奨されます。

 

Q2. 小規模な企業でもWAFは必要ですか?

はい、必要です。攻撃者は企業規模を問わず、自動化ツールで脆弱なサイトを標的にする傾向にあります。Cloudbric WAF+は月額2万8,000円〜から導入でき、専任のセキュリティ担当者がいなくてもマネージドサービスとして運用が可能です。中小企業でも導入しやすい価格帯と運用体制が整っています。

 

Q3. WAFを導入すれば情報漏えいはゼロになりますか?

WAFは多層防御の重要な一部ですが、単体で完全な防御を保証するものではありません。定期的な脆弱性診断・多要素認証の導入・ログ監視といった対策との組み合わせにより、リスクを大幅に低減できます。セキュリティ対策は導入後の継続的な運用と改善が重要です。

 

まとめ

今回紹介した事例の多くは、WAFが適切に導入・運用されていれば被害を防げた、または軽減できた可能性があります。SQLインジェクション・XSSなどのアプリケーション層の攻撃はWAFで対応でき、パスワードリスト攻撃には多要素認証やボット対策との併用が有効です。

これらの脅威からWebアプリケーションを守るには、Cloudbric WAF+の導入が有効です。WAAP型クラウドWAFとしてWAF・ボット対策・DDoS防御・API保護を統合しており、AIによる高精度な脅威検知とマネージド運用で継続的にセキュリティを強化できます。

自社のセキュリティ強化をお考えの方は、お気軽にペンタセキュリティまでお問い合わせください。

 

▼お問い合わせはこちら

▼Cloudbric WAF+の資料請求

Tags: No tags