メール通知サービスで個人情報が閲覧できる脆弱性 - 第一生命
第一生命保険は、契約者向けの一部メール通知サービスに脆弱性が存在し、サービス登録者の個人情報が、第三者によって閲覧可能だったことを明らかにした。
同社によれば、企業年金保険の契約者である法人や団体の担当者向けに提供している「年金通信メール通知サービス」において、サービス登録者の氏名や勤務先の組織名、電話番号、メールアドレスなどが第三者から閲覧できる状態だったことが判明したもの。
5月30日に外部より指摘があり、調査を行ったところ判明した。脆弱性が存在し、特定の手順でアクセスすることで登録者の個人情報を閲覧できる可能性があったという。
問題の判明を受けて同社は、登録者情報の閲覧機能を停止。サービスを開始した2013年6月以降に同サービスへ登録された顧客の情報1209件を対象に調査を実施した。アクセスログが存在する期間に脆弱性を悪用された形跡は見つかっていないが、すでに一部でログの保有期間が経過しており、個人情報流出の有無を確認することは困難だったという。
今回の問題を受け、同社では利用者による登録情報の変更や解除に対応するとともに、個人情報を聞き出す「なりすまし行為」について注意喚起を実施した。また停止した登録者情報の閲覧機能について再開の準備を進めている。
(Security NEXT - 2022/06/06 )
ツイート
関連リンク
PR
関連記事
農業従事者情報を含むデータを誤送信 - フィルタ解除で閲覧可能
私的にシステム閲覧、身内に個人情報を漏洩した職員を処分 - 各務原市
講演会参加希望者向けのメールで誤送信 - 妙高市
個人情報をメールに誤添付、容量から気づく - 阪教大
システムの登録ユーザー情報、ユーザー間で閲覧可能に - コマツ
プロジェクト申込フォームで設定ミス、既存回答が閲覧可能に - NPO法人
県内中高校向けのメールで誤送信 - 香川県
学校家庭調査で回答を誤公開 - 仕様確認を担当者に依存
医療機関向けの補助金案内メールで誤送信 - 大阪市
行政文書の個人情報、墨塗りせず交付 - 神奈川県
