代理店向け顧客管理システムの閲覧権限に設定漏れ - 東京海上
同システムには、氏名、住所、電話番号、生年月日、性別、メールアドレス、契約内容、証券番号、保険種類、保険金受け取り者の氏名、保険始期、満期、保険料、契約変更の有無、保険事故の有無といった情報が含まれる。
権限設定に問題が生じていた詳しい期間は不明。勤務型代理店制度を開始した2014年8月より設定ミスが発生していた可能性がある。
同社では、勤務型代理店による権限外のアクセス件数について、ログを用いた複数店のサンプル調査から、約2500件程度と見ている。今後精査を進め、不適切なアクセスが確認された顧客に対しては、統括代理店を通じて順次報告していく。調査については年内に完了する見込み。
設定ミスについては9月14日に修正を終えており、影響があった各社に対して報告を行った。対象となる代理店へヒアリングを進めているが、10月30日の時点で募集などをはじめ、不正利用されたケースは確認されていない。
同社では7月25日に金融庁へ報告しており、今後は権限の設定漏れを防ぐため、勤務型代理店のID設定時に複数部門によるチェックなどを実施し、再発の防止を図るとしている。
(Security NEXT - 2023/10/31 )
ツイート
関連リンク
PR
関連記事
教員採用選考受検者の自己申告用紙が所在不明に - 新潟県
他県で実施した中学校自然教室で生徒名簿が所在不明に - 横浜市
誤った住所へ会員証を送付、システムトラブルで - JAF
Salesforceのローコード開発ツールに脆弱性 - 設定リスクの指摘も
構成管理ツール「Salt」に複数脆弱性 - 「クリティカル」も
MDMサーバから従業員情報流出、削除データも - ジブラルタ生保
「Kibana」に深刻な脆弱性 - 「Chromium」の既知脆弱性に起因
ファッション通販サイトに不正アクセス、通知メールが送信
サイバー攻撃で元従業員情報が流出した可能性 - クミアイ化学工業
「IBM i」のFAX機能に権限昇格の脆弱性 - 修正パッチを提供