住友不動産の利用しているクラウドサービスにおいて、個人情報が第三者にアクセス可能な状態になっていたと明らかになった。
この記事は会員限定です。会員登録すると全てご覧いただけます。
住友不動産は2023年3月27日、「住友不動産のふれあい+S」の個人情報が閲覧可能な状態になっていたと発表した。同社は、同サービスの会員情報を保持するクラウドサービスに第三者がアクセス可能な状態になっていたためだとしている。
住友不動産は本件について、アクセス権の設定が誤っていたことが原因だと考える。
住友不動産は2023年3月19日に顧客からの指摘を受けてセキュリティインシデントを把握した。翌日までにセキュリティ設定変更およびアクセス可能となっていたページを削除した。既に該当データはアクセスできない状態になっており、不正利用による被害報告などは確認されていない。
個人情報へのアクセスが可能とされていた期間およびアクセス可能だったとみられるデータは以下の通りだ。
住友不動産はセキュリティインシデントの影響を受けた顧客には個別に連絡したとしている。クラウドサービスを利用する際に誤ったアクセス権限などを設定すると、本来アクセスできないはずのデータが不特定の第三者からアクセス可能な状態になることがある。こうしたデータはサイバー犯罪者に悪用される可能性があり注意が必要だ。
クラウドサービスを利用している場合は定期的にデータのアクセス権設定を確認するなどして、アクセス許可が適切かどうかを確認することが望まれる。
Copyright © ITmedia, Inc. All Rights Reserved.