Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

非公開の個人情報を閲覧できるURLを別人に誤送信 - 東京都

東京都は、新型コロナウイルス感染症対策の実施店舗に関する登録情報が記載されたマイページのURLを、異なる店舗関係者へメールで誤送信したことを明らかにした。登録情報には非公開の個人情報なども含まれる。

都では、都内飲食店における新型コロナウイルス感染症の拡大防止にあたり、対策実施店舗では「感染防止徹底宣言ステッカー」を取得でき、さらに責任者として「コロナ対策リーダー」を登録すると研修を経て「感染拡大防止徹底宣言ステッカー」を掲示できる事業を推進している。

同事業において、7月22日11時過ぎに自店舗の登録情報を確認できる「マイページ」のURLを77店舗のコロナ対策リーダーへメールで送信したが、誤って別店舗のURLを通知するミスがあった。同日受信者から指摘があり問題が判明した。

マイページには、非公開情報であるコロナ対策リーダーの氏名やメールアドレスが含まれる。データベースよりデータを抽出する際に店舗IDとメールアドレスにずれが生じたのが原因としている。

都では、今回誤送信したURLについては閲覧できないように対策を取り、対象となる関係者にメールで謝罪。あらたにマイページを用意し、URLを再発行した。

都によると、「マイページ」はIDやパスワードなどの認証によるアクセス制限は設けておらず、URLを指定すれば誰でもアクセスできるという。本誌取材に対して都の担当者は「相当長いURLになっている」と説明。第三者に推測されることはなく、問題ないとの見方を示した。

(Security NEXT - 2022/07/29 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

中学校でメール誤送信、保護者のメアド流出 - つくばみらい市
サイト改ざんでクレカ情報流出の可能性 - スケートボード専門店
AWS向けFWマネージドサービスの国内展開を開始 - パロアルト
メール訓練のノウハウをまとめた手引書を公開 - NCA
学生の個人情報がネット上で閲覧可能に、委託事業者の不備で - 徳島大
マルウェア感染、9分後に遮断するも情報流出の疑い - 小学館集英社プロ
Apple、macOSやiOSのアップデートを公開 - ゼロデイ脆弱性2件を修正
入学選抜情報をクラウド上に保存、複数生徒がアクセス - 都立高校
記事執筆者の口座情報をメールで誤送信 - 日本ITU協会
「ICTサイバーセキュリティ総合対策2022」を公開 - 総務省