Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「看板商品創出事業」で情報流出、アクセス権限の設定漏れで - 観光庁

観光庁は、「看板商品創出事業」において申請者に関する情報が流出したことを明らかにした。アクセス権限が正しく設定されていなかったという。

同庁によれば、「地域独自の観光資源を活用した地域の稼げる看板商品の創出事業」を実施する補助事業者のJTBにおいて、管理運用するクラウドサービスでアクセス権限を正しく設定していない不備があったという。

格納データへ個別にアクセス権限を設定する必要があったにも関わらず設定しておらず、1次採択事業者向けの専用ページへログインすると、5月24日から9月29日にかけて、自社以外の申請書類や補助金交付申請書、アンケート結果などへアクセスできる状態だった。

一部事業者によってダウンロードも行われていた。対象となる事業者は1698件で、申請事業者の組織、部署、役職、氏名、電話番号、メールアドレスなど最大1万1483人分の個人情報が含まれる。

5月から6月にかけて事業者より今回の問題について指摘を受けていたが、一部ファイルのみ修正するにとどまり、9月に再度指摘を受けたことで問題の重要性を認識したという。

同社ではファイルをダウンロードした18事業者に対して削除を依頼し、削除が行われたことを確認。情報が流出した申請事業者に対して謝罪した。同社では設定の不具合を修正。アクセス権限について点検を行ったとしている。

(Security NEXT - 2022/10/26 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

アクセス制御ツール「Pomerium」に脆弱性 - アップデートを
情報公開請求への対応で個人情報が流出 - 橿原市
応募フォームで個人情報が閲覧可能に - 東京都交通局
サイトに不正アクセス、リンクの書き込み - 三重県立総合医療センター
教委メールサーバ、不正中継でスパム踏み台に - 豊見城市
「MS Edge」にアップデート - 「クリティカル」とされる脆弱性を解消
NTT西の固定電話で一時通信障害 - ネット接続は影響なし
Samsung製スマホなどの既知脆弱性が攻撃の標的に - 米政府が注意喚起
Google、長期間放置アカウントを削除へ - 悪用防止対策で
米政府、ランサムウェア対応ガイドの改訂版を公開