非公開の個人情報を閲覧できるURLを別人に誤送信 - 東京都

東京都は、新型コロナウイルス感染症対策の実施店舗に関する登録情報が記載されたマイページのURLを、異なる店舗関係者へメールで誤送信したことを明らかにした。登録情報には非公開の個人情報なども含まれる。

都では、都内飲食店における新型コロナウイルス感染症の拡大防止にあたり、対策実施店舗では「感染防止徹底宣言ステッカー」を取得でき、さらに責任者として「コロナ対策リーダー」を登録すると研修を経て「感染拡大防止徹底宣言ステッカー」を掲示できる事業を推進している。

同事業において、7月22日11時過ぎに自店舗の登録情報を確認できる「マイページ」のURLを77店舗のコロナ対策リーダーへメールで送信したが、誤って別店舗のURLを通知するミスがあった。同日受信者から指摘があり問題が判明した。

マイページには、非公開情報であるコロナ対策リーダーの氏名やメールアドレスが含まれる。データベースよりデータを抽出する際に店舗IDとメールアドレスにずれが生じたのが原因としている。

都では、今回誤送信したURLについては閲覧できないように対策を取り、対象となる関係者にメールで謝罪。あらたにマイページを用意し、URLを再発行した。

都によると、「マイページ」はIDやパスワードなどの認証によるアクセス制限は設けておらず、URLを指定すれば誰でもアクセスできるという。本誌取材に対して都の担当者は「相当長いURLになっている」と説明。第三者に推測されることはなく、問題ないとの見方を示した。

（Security NEXT - 2022/07/29 ） ツイート

PR

関連記事

遠隔アクセス用サーバ経由で侵入、個人情報流出の可能性も - サカタのタネ
顧客管理システムの開発委託先で侵害 - 日産ディーラーの個人情報が流出
「Frappe Framework」「ERPNext」にXSS脆弱性 - 管理者権限奪取のおそれ
DigiEver製NVRの脆弱性悪用に注意 - 米CISAが警告
「n8n」に深刻なRCE脆弱性 - 乗っ取りや情報漏洩など広く影響
「Microsoft Edge」にセキュリティアップデート - 脆弱性2件を修正
市公開ファイル内に個人情報、コピペ操作で参照可能 - 日置市
受験者情報が長期間ネット公開、通常と異なる作業フローで - TAC
委託先で不正アクセス、個人情報流出の痕跡は確認されず - NECネクサ
郵便物を一時紛失、拾得物として回収 - 名古屋の郵便局