Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

非公開の個人情報を閲覧できるURLを別人に誤送信 - 東京都

東京都は、新型コロナウイルス感染症対策の実施店舗に関する登録情報が記載されたマイページのURLを、異なる店舗関係者へメールで誤送信したことを明らかにした。登録情報には非公開の個人情報なども含まれる。

都では、都内飲食店における新型コロナウイルス感染症の拡大防止にあたり、対策実施店舗では「感染防止徹底宣言ステッカー」を取得でき、さらに責任者として「コロナ対策リーダー」を登録すると研修を経て「感染拡大防止徹底宣言ステッカー」を掲示できる事業を推進している。

同事業において、7月22日11時過ぎに自店舗の登録情報を確認できる「マイページ」のURLを77店舗のコロナ対策リーダーへメールで送信したが、誤って別店舗のURLを通知するミスがあった。同日受信者から指摘があり問題が判明した。

マイページには、非公開情報であるコロナ対策リーダーの氏名やメールアドレスが含まれる。データベースよりデータを抽出する際に店舗IDとメールアドレスにずれが生じたのが原因としている。

都では、今回誤送信したURLについては閲覧できないように対策を取り、対象となる関係者にメールで謝罪。あらたにマイページを用意し、URLを再発行した。

都によると、「マイページ」はIDやパスワードなどの認証によるアクセス制限は設けておらず、URLを指定すれば誰でもアクセスできるという。本誌取材に対して都の担当者は「相当長いURLになっている」と説明。第三者に推測されることはなく、問題ないとの見方を示した。

(Security NEXT - 2022/07/29 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

休暇中に作業、個人情報含むUSBメモリを紛失 - 印西市
ふるさと納税者情報を扱うグループメールで権限設定ミス - 海士町
「Trend Micro Apex One」脆弱性でセキュリティ機関も注意喚起
「Trend Micro Apex One」に脆弱性、攻撃も発生 - パッチは8月中旬
参議院選の選挙人名簿が記録された記憶装置を紛失 - 仙台市
プロキシサーバ「Squid」に深刻な脆弱性 - アップデートで修正
「HashiCorp Vault」に複数の脆弱性 - 「クリティカル」も
8月の定例パッチ公開は日本時間8月13日 - 「盆休み」直撃
Zscalerの「SAML認証」に脆弱性 - 影響など詳細不明
D-Link製監視カメラなどの脆弱性悪用に注意喚起 - 米当局