Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

非公開の個人情報を閲覧できるURLを別人に誤送信 - 東京都

東京都は、新型コロナウイルス感染症対策の実施店舗に関する登録情報が記載されたマイページのURLを、異なる店舗関係者へメールで誤送信したことを明らかにした。登録情報には非公開の個人情報なども含まれる。

都では、都内飲食店における新型コロナウイルス感染症の拡大防止にあたり、対策実施店舗では「感染防止徹底宣言ステッカー」を取得でき、さらに責任者として「コロナ対策リーダー」を登録すると研修を経て「感染拡大防止徹底宣言ステッカー」を掲示できる事業を推進している。

同事業において、7月22日11時過ぎに自店舗の登録情報を確認できる「マイページ」のURLを77店舗のコロナ対策リーダーへメールで送信したが、誤って別店舗のURLを通知するミスがあった。同日受信者から指摘があり問題が判明した。

マイページには、非公開情報であるコロナ対策リーダーの氏名やメールアドレスが含まれる。データベースよりデータを抽出する際に店舗IDとメールアドレスにずれが生じたのが原因としている。

都では、今回誤送信したURLについては閲覧できないように対策を取り、対象となる関係者にメールで謝罪。あらたにマイページを用意し、URLを再発行した。

都によると、「マイページ」はIDやパスワードなどの認証によるアクセス制限は設けておらず、URLを指定すれば誰でもアクセスできるという。本誌取材に対して都の担当者は「相当長いURLになっている」と説明。第三者に推測されることはなく、問題ないとの見方を示した。

(Security NEXT - 2022/07/29 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

GitLabに3件の脆弱性 - セキュリティアップデートをリリース
F5、四半期定例アドバイザリで脆弱性12件に対処
顧客情報を含む社内メール、委託先にも誤送信 - みずほ信託銀
若年層向け合宿イベント「セキュキャン」が参加者募集をまもなく開始
臨時業務用PC2台を紛失、リース返却時に判明 - 栃木県
約6万件のスパム、森林研究所メルアカが不正利用 - 富山県
GeoVision製EOL機器に対する脆弱性攻撃が発生 - 米当局が注意喚起
RadwareのクラウドWAFに脆弱性 - フィルタ回避のおそれ
「PR TIMES」にサイバー攻撃 - IPアドレス制限や複数認証を突破
Cisco IOS XE無線LANコントローラに脆弱性 - root権限奪取のおそれ