メール通知サービスで個人情報が閲覧できる脆弱性 - 第一生命

第一生命保険は、契約者向けの一部メール通知サービスに脆弱性が存在し、サービス登録者の個人情報が、第三者によって閲覧可能だったことを明らかにした。

同社によれば、企業年金保険の契約者である法人や団体の担当者向けに提供している「年金通信メール通知サービス」において、サービス登録者の氏名や勤務先の組織名、電話番号、メールアドレスなどが第三者から閲覧できる状態だったことが判明したもの。

5月30日に外部より指摘があり、調査を行ったところ判明した。脆弱性が存在し、特定の手順でアクセスすることで登録者の個人情報を閲覧できる可能性があったという。

問題の判明を受けて同社は、登録者情報の閲覧機能を停止。サービスを開始した2013年6月以降に同サービスへ登録された顧客の情報1209件を対象に調査を実施した。アクセスログが存在する期間に脆弱性を悪用された形跡は見つかっていないが、すでに一部でログの保有期間が経過しており、個人情報流出の有無を確認することは困難だったという。

今回の問題を受け、同社では利用者による登録情報の変更や解除に対応するとともに、個人情報を聞き出す「なりすまし行為」について注意喚起を実施した。また停止した登録者情報の閲覧機能について再開の準備を進めている。

（Security NEXT - 2022/06/06 ） ツイート

PR

関連記事

案内メールを「CC」送信、メアド流出 - 福島市スポーツ振興公社
メール誤送信で見学会予約者のメアド流出 - NEXCO東日本
マスコミ宛てメールで誤送信、メアドが流出 - 東京都公園協会
保険福祉関連で2件の誤送信事故 - 群馬県
非常災害時用端末を用いて他社顧客情報を閲覧 - 九州電力
大学院入試問題や個人情報が学内クラウドで閲覧可能に - 琉球大学
関西電力に新電力の顧客情報が漏洩 - 経産省が報告求める
アンケートフォームで設定ミス、個人情報が閲覧可能に - 守口市
フォームで他者情報が閲覧可能に、設定流用で繰り返し発生 - 早稲田大
市立高校で模試の結果データを生徒に誤送信 - 函館市