Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「看板商品創出事業」で情報流出、アクセス権限の設定漏れで - 観光庁

観光庁は、「看板商品創出事業」において申請者に関する情報が流出したことを明らかにした。アクセス権限が正しく設定されていなかったという。

同庁によれば、「地域独自の観光資源を活用した地域の稼げる看板商品の創出事業」を実施する補助事業者のJTBにおいて、管理運用するクラウドサービスでアクセス権限を正しく設定していない不備があったという。

格納データへ個別にアクセス権限を設定する必要があったにも関わらず設定しておらず、1次採択事業者向けの専用ページへログインすると、5月24日から9月29日にかけて、自社以外の申請書類や補助金交付申請書、アンケート結果などへアクセスできる状態だった。

一部事業者によってダウンロードも行われていた。対象となる事業者は1698件で、申請事業者の組織、部署、役職、氏名、電話番号、メールアドレスなど最大1万1483人分の個人情報が含まれる。

5月から6月にかけて事業者より今回の問題について指摘を受けていたが、一部ファイルのみ修正するにとどまり、9月に再度指摘を受けたことで問題の重要性を認識したという。

同社ではファイルをダウンロードした18事業者に対して削除を依頼し、削除が行われたことを確認。情報が流出した申請事業者に対して謝罪した。同社では設定の不具合を修正。アクセス権限について点検を行ったとしている。

(Security NEXT - 2022/10/26 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

関連機関サイトに不正アクセス、CMSに不正プラグイン - 富山県立大
宣伝会議、不祥事ランキングを公表 - 求められる迅速な誠意ある対応
ビルシステムのセキュリティ対策カタログをリリース - CSSC
WP向けプラグイン「WP User Frontend」に深刻な脆弱性 - PoC公開済み
共同利用対象外の個人情報をグループDBに誤送信 - JFRカード
中学校教諭が車上荒らし被害、個人情報が盗難 - 習志野市
研究者狙うサイバー攻撃、講演や取材の依頼を偽装
「Apache DolphinScheduler」にコードインジェクションの脆弱性
10月は9月同様の大規模DDoS攻撃は観測されず - IIJ調査
ゼロデイ脆弱性に対処した「Microsoft Edge」がリリース