クラウドのファイル権限に設定ミス、URL指定でアクセス可能 - コスモ石油マーケ

コスモエネルギーグループで石油製品販売を手がけるコスモ石油マーケティングは、クラウドの設定ミスにより、顧客の個人情報を含むファイルが外部から参照できる状態だったことを明らかにした。ログが残っている期間にアクセスされた痕跡はなかったという。

同社によれば、同社サービス「コミっと車検」で利用しているクラウドにおいて閲覧制限の設定ミスが判明したもの。サーバやフォルダに対するアクセスは制限されていたが、2019年8月1日から2025年5月30日にかけてクラウド上に保存されているファイルのURLを直接指定すると外部からアクセスが可能だった。

対象となるファイルには、「コミっと車検」に申し込んだ顧客の氏名約3万5000件、顧客の電話番号約17万6000件、顧客の識別番号約16万5000件、車両情報約11万9000件、担当整備士の氏名約3000件が含まれる。同社はファイルのURLを第三者が類推することは困難だと説明している。

2025年5月30日にクラウド環境の設定確認を行っていたところ問題が判明。アクセス履歴を確認できた2023年1月27日から2025年5月30日までの期間に外部からのアクセスはなかった。2023年1月27日より前の期間はアクセス履歴を取得しておらず、外部からのアクセス状況は不明としている。

同社ではアクセスできないよう設定を見直した。またクラウド環境について検査を実施し、ほかに外部からアクセスできるファイルがないことを確認している。

同社では対象となる顧客に対し、同社公式アプリを通じて通知を行った。

（Security NEXT - 2025/06/23 ）ツイート