Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

子育てサポートシステムの会員情報が流出、設定ミスと不正アクセス - 横浜市

横浜子育てサポートシステム事業において、会員情報が第三者から閲覧可能な状態にあったことがわかった。またこれとは別に、不正アクセスによる会員情報の漏洩が発生していたことも判明した。

市の発表によれば、3月16日、システムの利用会員から運営委託先の横浜市社会福祉協議会に対し、ほかの会員の会員情報更新ページが閲覧できる状態になっているとの指摘があった。ページURLの末尾に並ぶ番号を違う番号に変えると、他人のページを閲覧できたという。

同協議会は事実確認の後、会員情報更新ページを停止して調査を実施。その結果、システム管理を委託している業者が3月5日にページの変更作業を行った際、第三者による閲覧を制限する機能を誤って削除していたことが判明した。これにより、会員の氏名や住所、電話番号、緊急連絡先、子供の名前などの個人情報が閲覧できる状態だった。

この不備を利用して実際に個人情報が閲覧されたのは、指摘した会員が不備を確認するために閲覧した16人分だけだったが、調査の過程で、3月5日以前に、閲覧経路の偽装やページの一部情報を取得するなど、5人の会員情報ページに不審なアクセスの痕跡が見つかった。システムに何らかの脆弱性があったと見られるため、調査を行っている。

同協議会では、個人情報漏洩の対象となった会員21人に対し個別に謝罪する。またシステムのセキュリティ対策を強化し、再発防止策を講じるまで会員情報更新ページの運用を停止するとしている。

(Security NEXT - 2014/04/03 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

約9年前に会員アカウント情報が流出か - 東芝産業機器システム
海外子会社に不正アクセス、顧客情報流出の可能性 - 野村HD
学内サーバや教育システムに不正アクセス、個人情報が流出 - 佐賀県
通販サイトに不正アクセス、アカウント情報が流出か - 京都の飲食店
アカウント情報3.7万件が海外サイト上に流出 - キルフェボン
「セシール」不正ログイン、攻撃リストの顧客ID合致は事前抽出が原因 - 情報流出を否定
不正アクセスで停止のメルマガ、配信を再開 - 熊本県
「プレミアム・アウトレット」からの流出データ、5カ所で公開を確認
通販サイトに不正アクセス、アカウント情報が海外サイトに - 人気洋菓子店
「セシールオンラインショップ」に不正アクセス - 攻撃リストが顧客IDと一致