メール通知サービスで個人情報が閲覧できる脆弱性 - 第一生命

第一生命保険は、契約者向けの一部メール通知サービスに脆弱性が存在し、サービス登録者の個人情報が、第三者によって閲覧可能だったことを明らかにした。

同社によれば、企業年金保険の契約者である法人や団体の担当者向けに提供している「年金通信メール通知サービス」において、サービス登録者の氏名や勤務先の組織名、電話番号、メールアドレスなどが第三者から閲覧できる状態だったことが判明したもの。

5月30日に外部より指摘があり、調査を行ったところ判明した。脆弱性が存在し、特定の手順でアクセスすることで登録者の個人情報を閲覧できる可能性があったという。

問題の判明を受けて同社は、登録者情報の閲覧機能を停止。サービスを開始した2013年6月以降に同サービスへ登録された顧客の情報1209件を対象に調査を実施した。アクセスログが存在する期間に脆弱性を悪用された形跡は見つかっていないが、すでに一部でログの保有期間が経過しており、個人情報流出の有無を確認することは困難だったという。

今回の問題を受け、同社では利用者による登録情報の変更や解除に対応するとともに、個人情報を聞き出す「なりすまし行為」について注意喚起を実施した。また停止した登録者情報の閲覧機能について再開の準備を進めている。

（Security NEXT - 2022/06/06 ） ツイート

PR

関連記事

受託運営したセミナーでメールの誤送信が発生 - テレビ愛媛
連絡メールで「CC」送信、半年で18回 - 新潟県
小学校の学校連絡システムで個人情報含む文書を誤送信 - 柏市
海外出張中にPC盗難被害、遠隔からデータ消去 - 東大定量研
Teams設定ミスで個人情報含むファイルが学内閲覧可能に - 富山県大
ボランティア連絡用端末で誤送信、メアドが流出 - 奈良県
メール誤送信で会員のメアド流出 - 不動産ファンド運営会社
ファイル共有設定ミスで意図せずCC送信 - メアド閲覧可能に
資料請求フォームで個人情報が閲覧可能に、過去にも発生 - 会津短大
データ管理システムで設定ミス、顧客情報が閲覧可能に - ピラティス専門店