Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

ドローン情報基盤システムで情報漏洩の不具合 - 修正するも再発

国土交通省が運用する「ドローン情報基盤システム(DIPS2.0)」において、特定の操作により関係ない他者の申請情報が閲覧できる不具合が2度にわたり判明した。4月に問題が判明し、対象部分を修正したが、異なる部分に同様の問題が存在していたという。

同システムでは、ドローンやラジコンといった無人航空機の登録申請や飛行の承認申請などの機能を提供しているが、操縦者技能証明に関する申請機能をリリースした2022年11月7日以降、システム利用者が特定の操作を行った際に他申請者に関する氏名、住所などの申請情報が表示される不具合が存在していた。

4月11日夜にシステムの利用者から報告を受け、運用を一時停止して対象部分を修正。同様の不具合がないか確認して、翌12日15時過ぎにサービスを再開したが、5月2日にふたたび報告が寄せられ確認したところ、異なるページにおいて同様の問題が生じていることが判明した。

システムの設計に起因しており、ログイン後に一定時間が経過し、セッション情報が削除された状態で閲覧を再開すると異なる利用者の情報が表示される場合があった。

4月12日に判明した不具合に起因する情報流出はなかったが、5月2日に判明した不具合に関しては対象となる事象が18件存在。ケースによっては自身の情報が表示される場合もあり、最大3件で他申請者の情報が実際に表示された可能性があるという。個人情報の悪用などは確認されていない。

(Security NEXT - 2023/05/11 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

任意精度演算のnpmパッケージがマルウェア汚染
公開議事録の墨塗りに不備、個人情報参照可能に - 羽曳野市
UCCグループの業務用食材通販サイトが侵害被害
エンカレッジ製のUNIX/Linux向け証跡記録ソフトに脆弱性
Google、「Chrome 114」をリリース - 複数の脆弱性を修正
顧客情報がネット上で閲覧可能に - 愛知のCATV局
主要ベンダー製品と連携するXDRを7月に提供 - Cisco
「iTunes for Windows」に複数の脆弱性 - アップデートで修正
雲仙普賢岳の防災システムで情報流出、闇ネット上に - 国交省
電車内で機密文書が盗難被害、その後回収 - 名古屋市美術館