ドローン情報基盤システムで情報漏洩の不具合 - 修正するも再発
国土交通省が運用する「ドローン情報基盤システム(DIPS2.0)」において、特定の操作により関係ない他者の申請情報が閲覧できる不具合が2度にわたり判明した。4月に問題が判明し、対象部分を修正したが、異なる部分に同様の問題が存在していたという。
同システムでは、ドローンやラジコンといった無人航空機の登録申請や飛行の承認申請などの機能を提供しているが、操縦者技能証明に関する申請機能をリリースした2022年11月7日以降、システム利用者が特定の操作を行った際に他申請者に関する氏名、住所などの申請情報が表示される不具合が存在していた。
4月11日夜にシステムの利用者から報告を受け、運用を一時停止して対象部分を修正。同様の不具合がないか確認して、翌12日15時過ぎにサービスを再開したが、5月2日にふたたび報告が寄せられ確認したところ、異なるページにおいて同様の問題が生じていることが判明した。
システムの設計に起因しており、ログイン後に一定時間が経過し、セッション情報が削除された状態で閲覧を再開すると異なる利用者の情報が表示される場合があった。
4月12日に判明した不具合に起因する情報流出はなかったが、5月2日に判明した不具合に関しては対象となる事象が18件存在。ケースによっては自身の情報が表示される場合もあり、最大3件で他申請者の情報が実際に表示された可能性があるという。個人情報の悪用などは確認されていない。
(Security NEXT - 2023/05/11 )
ツイート
関連リンク
PR
関連記事
海外子会社でランサム被害、情報流出など影響を調査 - 富士電機
アイ・オー製ルータ「UD-LT1」などに脆弱性 - すでに悪用も
「Veeam Backup & Replication」に複数脆弱性 - アップデートで修正
「Chrome」にセキュリティアップデート - 4件の修正を実施
米CISA、ファイル共有ツールなどの脆弱性3件を悪用リストに追加
「Cisco ASA」のウェブVPNログインページ脆弱性 - 攻撃試行を確認
プロバイダ向け「Veeam Service Provider Console」に深刻な脆弱性
11月は脆弱性22件の悪用に注意を喚起 - 米当局
NEC製ルータ「UNIVERGE IXシリーズ」に複数の脆弱性
別会員の購入情報が記載されたメールを誤送信 - FC東京