メール通知サービスで個人情報が閲覧できる脆弱性 - 第一生命

第一生命保険は、契約者向けの一部メール通知サービスに脆弱性が存在し、サービス登録者の個人情報が、第三者によって閲覧可能だったことを明らかにした。

同社によれば、企業年金保険の契約者である法人や団体の担当者向けに提供している「年金通信メール通知サービス」において、サービス登録者の氏名や勤務先の組織名、電話番号、メールアドレスなどが第三者から閲覧できる状態だったことが判明したもの。

5月30日に外部より指摘があり、調査を行ったところ判明した。脆弱性が存在し、特定の手順でアクセスすることで登録者の個人情報を閲覧できる可能性があったという。

問題の判明を受けて同社は、登録者情報の閲覧機能を停止。サービスを開始した2013年6月以降に同サービスへ登録された顧客の情報1209件を対象に調査を実施した。アクセスログが存在する期間に脆弱性を悪用された形跡は見つかっていないが、すでに一部でログの保有期間が経過しており、個人情報流出の有無を確認することは困難だったという。

今回の問題を受け、同社では利用者による登録情報の変更や解除に対応するとともに、個人情報を聞き出す「なりすまし行為」について注意喚起を実施した。また停止した登録者情報の閲覧機能について再開の準備を進めている。

（Security NEXT - 2022/06/06 ） ツイート

PR

関連記事

再委託先でメール誤送信、イベント参加者のメアド流出 - 香川県
セミナー参加者にメール誤送信、メアド流出 - 横須賀市
県立高校でメール誤送信、高校生活入門講座参加者のメアド流出 - 三重県
プレミアム付き商品券の発行事業でメール誤送信 - 唐津市
患者情報含むファイルがネット上で閲覧可能に - 日大板橋病院
ボランティア登録した高校生宛のメールで誤送信 - 愛媛県
U-15選抜申込者の個人情報が閲覧可能に、フォーム設定ミスで - INAC神戸
「新そばまつり」申込者の個人情報が閲覧可能に - 大石田町
メール誤送信、育児セミナー参加予定者のメアド流出 - 大阪市
企業担当者の案内メールで誤送信 - ひろしま産業振興機構