メール通知サービスで個人情報が閲覧できる脆弱性 - 第一生命

第一生命保険は、契約者向けの一部メール通知サービスに脆弱性が存在し、サービス登録者の個人情報が、第三者によって閲覧可能だったことを明らかにした。

同社によれば、企業年金保険の契約者である法人や団体の担当者向けに提供している「年金通信メール通知サービス」において、サービス登録者の氏名や勤務先の組織名、電話番号、メールアドレスなどが第三者から閲覧できる状態だったことが判明したもの。

5月30日に外部より指摘があり、調査を行ったところ判明した。脆弱性が存在し、特定の手順でアクセスすることで登録者の個人情報を閲覧できる可能性があったという。

問題の判明を受けて同社は、登録者情報の閲覧機能を停止。サービスを開始した2013年6月以降に同サービスへ登録された顧客の情報1209件を対象に調査を実施した。アクセスログが存在する期間に脆弱性を悪用された形跡は見つかっていないが、すでに一部でログの保有期間が経過しており、個人情報流出の有無を確認することは困難だったという。

今回の問題を受け、同社では利用者による登録情報の変更や解除に対応するとともに、個人情報を聞き出す「なりすまし行為」について注意喚起を実施した。また停止した登録者情報の閲覧機能について再開の準備を進めている。

（Security NEXT - 2022/06/06 ） ツイート

PR

関連記事

法人会員情報が流出、脆弱性の点検過程から発覚 - 関西エアポート
コミュニケーションサポーターのメアド流出 - 茨城県国際交流協会
メール誤送信で事業所担当者のメアド流出 - やまがた産業支援機構
乗換案内サイトで別の顧客情報を表示 - キャッシュ不備で
農政情報の案内メールで誤送信、個人情報が流出 - 燕市
メール誤送信で企業担当者のメアド流出 - かがわ産業支援財団
施設の指定管理者がメール誤送信、メアド流出 - 新潟県
新潟県立近代美術館でメール誤送信 - 後任担当者が気付く
オンラインデザインツール上で他校生徒情報が閲覧可能に - 鹿島市
学生の個人情報含むファイルを医学部サイトに誤掲載 - 鳥取大