代理店向け顧客管理システムの閲覧権限に設定漏れ - 東京海上

同システムには、氏名、住所、電話番号、生年月日、性別、メールアドレス、契約内容、証券番号、保険種類、保険金受け取り者の氏名、保険始期、満期、保険料、契約変更の有無、保険事故の有無といった情報が含まれる。

権限設定に問題が生じていた詳しい期間は不明。勤務型代理店制度を開始した2014年8月より設定ミスが発生していた可能性がある。

同社では、勤務型代理店による権限外のアクセス件数について、ログを用いた複数店のサンプル調査から、約2500件程度と見ている。今後精査を進め、不適切なアクセスが確認された顧客に対しては、統括代理店を通じて順次報告していく。調査については年内に完了する見込み。

設定ミスについては9月14日に修正を終えており、影響があった各社に対して報告を行った。対象となる代理店へヒアリングを進めているが、10月30日の時点で募集などをはじめ、不正利用されたケースは確認されていない。

同社では7月25日に金融庁へ報告しており、今後は権限の設定漏れを防ぐため、勤務型代理店のID設定時に複数部門によるチェックなどを実施し、再発の防止を図るとしている。

（Security NEXT - 2023/10/31 ） ツイート

PR

関連記事

X線読影システムのランサム被害、VPN経由で侵入 - 埼玉県健康づくり事業団
小学校と中学校で個人情報の紛失が判明 - 尼崎市
学生の就活支援アプリ「OfferBox」に一時脆弱性 - すでに解消済み
メール「CC」送信で会員企業のメアド流出 - いばらき量子線利活用協議会
「iTunes for Windows」に脆弱性 - アップデートで修正
法人カード利用企業の情報をメールで誤送信 - UPSIDER
国内で「Mirai」とは異なるボットネットの動きが加速
軽量プロクシ「Tinyproxy」に脆弱性 - 報告者と開発者に溝
グリコ、冷蔵食品の出荷再開を延期 - 約150億円の売上減を予想
東急のネットワークにサイバー攻撃 - グループ会社から情報流出