プログラムの不具合やアクセス権の設定ミスにより、ホームページから顧客の個人情報や業務情報が流出する事故が相次いでいる。6月以降に明らかとなった事故についてお伝えする。
■ウェル・ビーイング、取引先情報含む業務情報が閲覧可能に
健康保険組合を対象としたコンサルティングなどを行うウェル・ビーイング(東京都品川区)は12日、内部情報の一部がインターネットで閲覧可能になっていたと発表した。同社によると、6月17日から同24日までの間、営業会議のメモや会計情報などがネット上で公開状態となっており、この中には同社の取引先である健康保険組合の名称も含まれていた。この間、同社社員からのアクセスも含め、のべ48件のアクセスがあったという。
当該情報は従来からインターネットで運用管理されており、個人IDとパスワードを使用して同社外からはアクセスできない設定としていたが、アクセス制限をしていたプログラムの不具合により公開状態となった。同情報は機密情報を扱うためのセキュリティサーバーではなく、一般サーバーで運用されていたという。同社では、当該情報の運用管理を紙面並びにイントラネットで行うように変更した。また今後は、社内文書なども、機密度の高低に関わらずセキュリティサーバーで運用するという。
・お詫び(ウェル・ビーイング)[PDF]
http://123wb.jp/owabi110712.pdf
■日興アセットマネジメント、イベント参加申込者の情報が閲覧可能に
投資信託を扱う日興アセットマネジメント(本社:東京都港区)は6日、同社が8月に予定しているイベント「夏休み親子お金研究室」の参加申込フォームにシステム上の不具合があり、申込者の個人情報が一定期間、ホームページ上で閲覧可能になっていたと発表した。同社によると、閲覧可能となっていたのは、6月29日から7月6日までの間に同社ホームページで参加申し込みを行った顧客の氏名、住所、年齢、電話番号、メールアドレス等で、最大8組16名分。7月1日の午前9時50分頃から6日の午前9時20分頃までの間、閲覧可能だった。6日の時点では、当該情報が不正に利用されたという報告はないという。同社は、システムの強化を図るなどして再発防止に取り組むとしている。
・「夏休み親子お金研究室」お申込フォームにおけるシステムの不具合について[PDF](日興アセットマネジメント)
http://www.nikkoam.com/files/lists/news/20110706_01.pdf
■narp club、会員の個人情報1万3690件が閲覧可能に~カード情報や口座情報も
福利厚生サービスを手がけるベネフィット・ワン(本社:東京都渋谷区)は6月24日、同社が運営するシニア向け会員制サイト「narp club」の会員や元会員の個人情報1万3690件が、ネット上で閲覧可能となっていたと発表した。同社によると、システムの管理を委託しているアラナエンターテインメント(本社:東京都千代田区)が、サーバーを入れ替えた際に設定を誤ったのが原因。アラナが過去にnarp clubのシステムのテストを行った際に使用したデータがサーバーに残存しており、5月17日から6月7日までの間、閲覧可能となっていたという。
データに含まれていた個人情報は、氏名、住所、電話番号、メールアドレス等で、277件についてはクレジットカード情報が、1428件については銀行の口座番号が含まれていた。公表の時点で、不正利用等の二次被害は発生していないという。ベネフィット・ワンは、再発防止に向け、個人情報管理の徹底を図るとしている。
また、不動産会社毎日コムネット(本社:東京都千代田区)は同日、この件で閲覧可能となっていた情報の中に、同社の株主優待制度「ベネフィットステーション(Narp Club)」利用者の情報、のべ3703名分が含まれていたと発表した。株主番号、株主氏名、加入時に付与されたパスワードが閲覧可能だったという。
・会員様の個人情報に関するお詫びとお知らせ[PDF](ベネフィット・ワン)
https://www.narp.jp/20110624_narp_207A_1.pdf
・会員様の個人情報に関するお詫びとお知らせ[PDF](毎日コムネット)
https://www.xj-serve.com/ir2/users/mainichi8908/docs/110624kojinjoho.pdf
■埼玉県舞踊協会、コンクール出場申込者の個人情報が閲覧可能に
埼玉県舞踊協会は6月20日、コンクール受付システムの管理画面が第三者から閲覧可能な状態だったと発表した。同協会によると、管理画面からは、コンクール出場を申し込んだ個人や団体について、メールアドレス、氏名、住所、電話番号、出場者生年月日、出場料支払い状況や、個人情報を保存しておける「マイページ」のパスワードなどを閲覧することができる。コンクール受付システムは、昨年使用したシステムに新たにマイページ、管理画面等を追加構築したもので、その受け渡しがうまくいっていなかったという。また、認証システムの不備から、管理画面のURLが検索エンジンに捕捉されてしまった。
同協会では、従来のシステムと、追加したシステムを切り離して運用することにした。また、ページ間の遷移時に確実に認証が行われ、パスワードなしではログインできないような処置を施したという。
・コンクール受付システムの管理画面の情報漏洩に関するお詫びとご注意(埼玉県舞踊協会)
http://www.saitamaken-buyoukyokai.jp/owabi.html
(2011/07/15 ネットセキュリティニュース)