Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

非公開の個人情報を閲覧できるURLを別人に誤送信 - 東京都

東京都は、新型コロナウイルス感染症対策の実施店舗に関する登録情報が記載されたマイページのURLを、異なる店舗関係者へメールで誤送信したことを明らかにした。登録情報には非公開の個人情報なども含まれる。

都では、都内飲食店における新型コロナウイルス感染症の拡大防止にあたり、対策実施店舗では「感染防止徹底宣言ステッカー」を取得でき、さらに責任者として「コロナ対策リーダー」を登録すると研修を経て「感染拡大防止徹底宣言ステッカー」を掲示できる事業を推進している。

同事業において、7月22日11時過ぎに自店舗の登録情報を確認できる「マイページ」のURLを77店舗のコロナ対策リーダーへメールで送信したが、誤って別店舗のURLを通知するミスがあった。同日受信者から指摘があり問題が判明した。

マイページには、非公開情報であるコロナ対策リーダーの氏名やメールアドレスが含まれる。データベースよりデータを抽出する際に店舗IDとメールアドレスにずれが生じたのが原因としている。

都では、今回誤送信したURLについては閲覧できないように対策を取り、対象となる関係者にメールで謝罪。あらたにマイページを用意し、URLを再発行した。

都によると、「マイページ」はIDやパスワードなどの認証によるアクセス制限は設けておらず、URLを指定すれば誰でもアクセスできるという。本誌取材に対して都の担当者は「相当長いURLになっている」と説明。第三者に推測されることはなく、問題ないとの見方を示した。

(Security NEXT - 2022/07/29 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

日東製網、四半期決算を延期 - ランサムウェア被害の影響で
2024年春季の登録セキスペ応募者、前年から13.3%増
「GarageBand」にセキュリティアップデート - 脆弱性1件を修正
米子会社にサイバー攻撃、情報流出の可能性 - パイロット
メンテナンス中に本人確認資料画像データを誤消去 - 琉球銀
読売新聞装うメールに注意 - 著作権侵害と脅す内容
サーバや端末にサイバー攻撃、放送への影響は否定 - テレビ新潟
「JSONata」にプロトライプ汚染の脆弱性 - アップデートにて修正
効率的な脆弱性対策を支援するオンラインセミナー開催 - IPA
Android 14の変更点をカバー - セキュアコーディングガイド新版