「看板商品創出事業」で情報流出、アクセス権限の設定漏れで - 観光庁
観光庁は、「看板商品創出事業」において申請者に関する情報が流出したことを明らかにした。アクセス権限が正しく設定されていなかったという。
同庁によれば、「地域独自の観光資源を活用した地域の稼げる看板商品の創出事業」を実施する補助事業者のJTBにおいて、管理運用するクラウドサービスでアクセス権限を正しく設定していない不備があったという。
格納データへ個別にアクセス権限を設定する必要があったにも関わらず設定しておらず、1次採択事業者向けの専用ページへログインすると、5月24日から9月29日にかけて、自社以外の申請書類や補助金交付申請書、アンケート結果などへアクセスできる状態だった。
一部事業者によってダウンロードも行われていた。対象となる事業者は1698件で、申請事業者の組織、部署、役職、氏名、電話番号、メールアドレスなど最大1万1483人分の個人情報が含まれる。
5月から6月にかけて事業者より今回の問題について指摘を受けていたが、一部ファイルのみ修正するにとどまり、9月に再度指摘を受けたことで問題の重要性を認識したという。
同社ではファイルをダウンロードした18事業者に対して削除を依頼し、削除が行われたことを確認。情報が流出した申請事業者に対して謝罪した。同社では設定の不具合を修正。アクセス権限について点検を行ったとしている。
(Security NEXT - 2022/10/26 )
ツイート
関連リンク
PR
関連記事
メール誤送信でファンクラブ会員のメアド流出 - クリアソン新宿
新「NOTICE」がスタート、脆弱性ある機器も注意喚起対象に
サイトで閲覧障害、影響や詳細を調査 - メディキット
緊急連絡用職員名簿をポーチごと紛失、翌日回収 - 江戸川区
指導要録の紛失判明、過去に緊急点検するも見落とし - 杉並区
複数フォームで設定ミス、入力情報が閲覧できる状態に - Acompany
スポーツ用品販売のヒマラヤ公式Xが乗っ取り被害 - なりすましDMに注意
UTM設置時のテストアカウントが未削除、ランサム感染の原因に
カンファレンスイベント「CODE BLUE 2024」、講演者募集を開始
「Ruby」に3件の脆弱性、アップデートで修正を実施