親会社の委託先にID・パスワード47万人分を誤提供、新生銀行傘下のアプラスがクレカ会員向けサービスで
アプラスがクレカ会員向けサービスのIDやパスワード47万5813人分を、親会社がマーケティング業務を委託していた2社に誤って提供していたと発表した。誤提供したデータが委託先企業以外に渡った形跡はなく、不正利用も確認していないという。
クレジットカードなどの信販事業を手掛けるアプラスは9月16日、カード会員向けWebサービス「NETstation APLUS」のIDやパスワード47万5813人分を、親会社の新生銀行がマーケティング業務を委託していた2社に誤って提供していたと発表した。提供したデータが委託先以外に渡った形跡はなく、不正利用も確認していないという。
2017年8月25日以降、アプラスの公式スマートフォンアプリからNETstation APLUSにログインした会員のIDやパスワードが対象。同サービスは会員が自身の個人情報や口座情報を確認・変更できるが、これらの機能を使うためには別の認証が必要なため、内容を第三者に盗み見られる可能性は低いとしている。ただし請求額の照会や、支払い方法を一括からリボルビング払いに変更するといった操作はIDとパスワードだけで可能という。
事態が発覚したのは21年9月3日。アプラスが新生銀行グループの業務として当該の委託先1社にデータを提供し、戻ってきた情報を新生銀行が確認したところ、本来渡さないはずのIDやパスワードが混ざっていたことが分かったという。事態を受けアプラスが改めて調査したところ、別の委託先1社にもデータを誤提供していたことが判明した。
アプラスは誤提供の原因について「委託先へ提供するデータの確認手法に不備があった」としている。今後はデータを渡すときの仕組みを見直す他、従業員の意識改善を進めることで再発防止を目指すという。
関連記事
- NTTぷらら、個人情報最大800万件が漏えいした可能性 「ひかりTV」受信機の配達先住所など
NTTぷららの委託先サーバが不正アクセスを受け、個人情報最大約800万件が漏えいした可能性があると同社が発表した。 - 村田製作所、再委託先が7.2万件の情報を不正持ち出し IBM中国法人の社員が個人用クラウドにアップロード
村田製作所が日本アイ・ビー・エムに委託した会計システムの更新作業中、再委託先の中国法人の社員が、約7万2000件の情報を不正に取得していたことが判明。無断でデータをダウンロードし、中国国内のクラウド上にアップロードしていた。 - トヨタ販売店27社、個人情報5797件の無断登録が新たに判明 同意なしに共通ID発行
トヨタ自動車の販売店9社が、顧客の個人情報を、本人同意を得ないままシステムに登録していた件について、トヨタは新たに27社が5797人分の情報を無断で登録していたことが分かったと発表した。8月の発表時点では3318人分と報告していた。 - Microsoftのローコードアプリ開発ツールPower Appsポータルの設定ミスで約3800万件の個人情報漏えい
Microsoftのローコードアプリ開発スイート「Apower Apps」の「Power Appsポータル」で作成された47組織のアプリで、合計3800万件の個人情報がアクセス可能になっていたとUpGuardが報告した。脆弱性ではなく、初期設定のままツールを使うと公開する仕様になっていたため。Microsoftは初期設定を変更し、自己診断ツールを配布した。 - 米通信キャリア大手T-Mobile、サイバー攻撃で約4860万人の個人情報漏えい
全米3位の通信キャリアT-Mobileが、サイバー攻撃により多数の顧客データを盗まれたと発表した。現在と過去の顧客およびプリペイドユーザーを合わせて約4860万人分。クレジットカード情報は含まれないものの、社会保障番号や運転免許証IDなどが含まれる。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.