Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

ファイル誤り個人情報を誤掲載 - サーバより削除せず検索可能に

福島県楢葉町の屋内体育施設である「ならはスカイアリーナ」のウェブサイトにおいて、利用者の個人情報含むファイルを誤って掲載するミスがあり、個人情報が流出したことがわかった。

同町から委託を受け同施設を運営しているJヴィレッジによれば、1月27日にウェブサイトの「予約状況カレンダー」へ予約状況を案内するPDFファイルを掲載すべきところ、誤って個人情報を保存した表計算ファイルを掲載してしまったという。

問題のファイルには、事故発生時の救急対応のため提供された2021年4月2日から2023年1月24日までのビジター利用者1214人に関する個人情報が記載されていた。氏名、市町村名、電話番号、生年月日、性別、血液型、学校名、保護者名、緊急連絡時電話番号、健康に関する留意事項などが含まれる。

翌日28日に利用者から指摘があり問題が判明。リンクをPDFファイルに置き換えたが、問題のファイルそのものは、サーバ上より削除しておらず、引き続きアクセスが可能な状態にあり、検索エンジンにも登録された。

あらためて4月7日に外部から指摘があり、サーバから問題のファイルを完全に削除した。同社では、対象となる利用者に電話で経緯の報告と謝罪を行っている。

(Security NEXT - 2023/04/21 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

「GMO Flatt Security」に商号変更 - グループブランドを活用
小学校でサポート詐欺被害、「情報流出なし」と結論 - 浦添市
「MS 365」のログ活用、脅威検知分析を実現する資料 - 米当局
海外子会社にサイバー攻撃、情報流出の可能性 - 西尾レントオール
「FortiSwitch」に深刻な脆弱性 - 修正版以降に更新を
「Ivanti EPM」に複数の深刻な脆弱性 - アップデートを公開
メアドが不正利用、スパム送信の踏み台に - 下野新聞
サーバに不正ファイル、個人情報流出の可能性 - TCC Japan
アップデートで複数の脆弱性やバグを修正 - GitLab
SAP、セキュリティアドバイザリ14件を公開 - 「クリティカル」も