ドローン情報基盤システムで情報漏洩の不具合 - 修正するも再発

国土交通省が運用する「ドローン情報基盤システム（DIPS2.0）」において、特定の操作により関係ない他者の申請情報が閲覧できる不具合が2度にわたり判明した。4月に問題が判明し、対象部分を修正したが、異なる部分に同様の問題が存在していたという。

同システムでは、ドローンやラジコンといった無人航空機の登録申請や飛行の承認申請などの機能を提供しているが、操縦者技能証明に関する申請機能をリリースした2022年11月7日以降、システム利用者が特定の操作を行った際に他申請者に関する氏名、住所などの申請情報が表示される不具合が存在していた。

4月11日夜にシステムの利用者から報告を受け、運用を一時停止して対象部分を修正。同様の不具合がないか確認して、翌12日15時過ぎにサービスを再開したが、5月2日にふたたび報告が寄せられ確認したところ、異なるページにおいて同様の問題が生じていることが判明した。

システムの設計に起因しており、ログイン後に一定時間が経過し、セッション情報が削除された状態で閲覧を再開すると異なる利用者の情報が表示される場合があった。

4月12日に判明した不具合に起因する情報流出はなかったが、5月2日に判明した不具合に関しては対象となる事象が18件存在。ケースによっては自身の情報が表示される場合もあり、最大3件で他申請者の情報が実際に表示された可能性があるという。個人情報の悪用などは確認されていない。

（Security NEXT - 2023/05/11 ） ツイート

PR

関連記事

がん検診クーポン券に別人の住所、委託事業者のミスで - 横須賀市
個人情報流出の可能性、高負荷から事態を把握 - 楽待
Perl向け暗号ライブラリ「CryptX」に複数脆弱性
監視ソフト「IBM Tivoli Monitoring」にRCE脆弱性 - 早急に更新を
掲示板ツール「vBulletin」に深刻な脆弱性 - 実証コードや悪用も
ZohoのExchange監視ツールに深刻な脆弱性 - アップデートを
委託先で個人情報流出か、セキュリティ監査に虚偽報告 - ソフトバンク
「Wazuh」や「Windows WEBDAV」の脆弱性悪用に注意
「Firefox」に脆弱性、アップデートを公開 - 「クリティカル」との評価も
「Adobe Commerce」に緊急対応必要な脆弱性 - 「Magento」も注意