「看板商品創出事業」で情報流出、アクセス権限の設定漏れで - 観光庁

観光庁は、「看板商品創出事業」において申請者に関する情報が流出したことを明らかにした。アクセス権限が正しく設定されていなかったという。

同庁によれば、「地域独自の観光資源を活用した地域の稼げる看板商品の創出事業」を実施する補助事業者のJTBにおいて、管理運用するクラウドサービスでアクセス権限を正しく設定していない不備があったという。

格納データへ個別にアクセス権限を設定する必要があったにも関わらず設定しておらず、1次採択事業者向けの専用ページへログインすると、5月24日から9月29日にかけて、自社以外の申請書類や補助金交付申請書、アンケート結果などへアクセスできる状態だった。

一部事業者によってダウンロードも行われていた。対象となる事業者は1698件で、申請事業者の組織、部署、役職、氏名、電話番号、メールアドレスなど最大1万1483人分の個人情報が含まれる。

5月から6月にかけて事業者より今回の問題について指摘を受けていたが、一部ファイルのみ修正するにとどまり、9月に再度指摘を受けたことで問題の重要性を認識したという。

同社ではファイルをダウンロードした18事業者に対して削除を依頼し、削除が行われたことを確認。情報が流出した申請事業者に対して謝罪した。同社では設定の不具合を修正。アクセス権限について点検を行ったとしている。

（Security NEXT - 2022/10/26 ） ツイート

PR

関連記事

ランサム被害でシステム障害、グループ各社に影響 - テイン
公開PDF資料に個人情報、県注意喚起きっかけに判明 - 菊池市
小学校で個人票を誤配布、マニュアルの認識不十分で - 大阪市
ファイル転送ソフト「MOVEit Transfer」にDoS脆弱性 - 修正版公開
ネット印刷サービスにサイバー攻撃、個人情報流出か - ウイルコHD子会社
英国ブランド通販サイト、約3年間にわたりクレカ情報流出の可能性
「VMware Tools」「Aria Operations」既知脆弱性、悪用事例の報告
ランサム攻撃者が犯行声明、事実関係を確認中 - アスクル
ペット保険システムから契約者情報など流出した可能性 - アクサ損保
米当局、「XWiki Platform」「Aria Operations」脆弱性を悪用リストに追加