「看板商品創出事業」で情報流出、アクセス権限の設定漏れで - 観光庁

観光庁は、「看板商品創出事業」において申請者に関する情報が流出したことを明らかにした。アクセス権限が正しく設定されていなかったという。

同庁によれば、「地域独自の観光資源を活用した地域の稼げる看板商品の創出事業」を実施する補助事業者のJTBにおいて、管理運用するクラウドサービスでアクセス権限を正しく設定していない不備があったという。

格納データへ個別にアクセス権限を設定する必要があったにも関わらず設定しておらず、1次採択事業者向けの専用ページへログインすると、5月24日から9月29日にかけて、自社以外の申請書類や補助金交付申請書、アンケート結果などへアクセスできる状態だった。

一部事業者によってダウンロードも行われていた。対象となる事業者は1698件で、申請事業者の組織、部署、役職、氏名、電話番号、メールアドレスなど最大1万1483人分の個人情報が含まれる。

5月から6月にかけて事業者より今回の問題について指摘を受けていたが、一部ファイルのみ修正するにとどまり、9月に再度指摘を受けたことで問題の重要性を認識したという。

同社ではファイルをダウンロードした18事業者に対して削除を依頼し、削除が行われたことを確認。情報が流出した申請事業者に対して謝罪した。同社では設定の不具合を修正。アクセス権限について点検を行ったとしている。

（Security NEXT - 2022/10/26 ） ツイート

PR

関連記事

市サイト上で個人情報含むファイルが認証なく閲覧可能に - 柏市
複数警察署で事件関係者の個人情報含む書類を紛失 - 福井県警
海外通販サイトに不正アクセス、会員情報流出の可能性 - BEENOS子会社
「SESマッチングサービス」のメルアカに不正アクセス - アデコ
サーバ内にバックドア、個人情報流出の可能性 - ケイ・ウノ
「VMware vSphere」環境狙う「BRICKSTORM」に新亜種 - 米加当局が注意喚起
JALシステム障害、原因はデータ誤消去 - 発覚おそれログ改ざん
米当局、脆弱性悪用リストに4件追加 - ランサム対策製品の脆弱性も
「Apache Tomcat」に複数脆弱性 - 1月の更新でいずれも修正済み
アドバンテストでランサム被害か - 影響や原因など調査