Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

行政サービスの共通認証「GビズID」で他社個人情報を取得できる不具合

デジタル庁が運用する共通認証サービス「GビズID」において、自社以外の関係ない利用者情報を取得できる不具合が発生した。

同サービスは、ひと組のIDとパスワードでさまざまな行政サービスへログインすることができる事業者向けの共通認証サービス。

同庁によれば、利用者が自社の利用者情報を取得しようとすると、他社の個人情報が取得される状態だった。3月28日15時ごろに利用者が自社の利用者情報を取得しようとした際に不具合へ気がついた。

同様の問題は2件発生しており、1社では231人分、別のもう1社では31人分の関係ない個人情報が取得された。氏名や勤務先住所、電話番号、生年月日、メールアドレスなどが含まれる。

特定条件下で利用者情報の取得機能に不具合が発生していたものと見られる。同庁では利用者情報の取得機能を停止した。

他社の利用者情報を取得した企業に対しては、謝罪したうえで取得した情報の削除を依頼。他社に利用者情報を取得された企業には経緯の説明と謝罪を行った。今後はシステムの不具合に関するチェック体制を強化するとしている。

(Security NEXT - 2022/03/31 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

業務端末を置き忘れて紛失、個人情報は内部メールのみ - 名古屋電機工業
大阪市の公開資料にコロナ患者管理システムのパスワード - 2段階認証の盲点も
栃木の名産品通販サイトに不正アクセス - クレカ情報流出の可能性
再委託先が顔認証の搭乗関連情報を不正持出 - 東京国際空港ターミナル
サポート担当の業務委託先が侵害被害 - Okta
メタップスP、クレカ情報など最大約46万件が流出か - 不正ログインやSQLi攻撃で
個人情報流出の可能性示す痕跡を発見、最大対象件数を算出 - リニカル
「エヴァンゲリオン」公式通販サイト、クレカやPWなど流出のおそれ
生徒や教員の情報含むPCが盗難、HDDは暗号化済み - 広島大付属中
Twitterが乗っ取り被害、DM履歴に顧客情報 - ホビー製作販売会社