個人情報25万件が“Google検索で丸見え”のリスクモンスター、原因はAWS移行時の設定ミス
企業向け研修サービスのサーバに保存していた約25万人分の個人情報がGoogleで検索できる状態になっていた件を巡り、提供元が原因を発表。ネットワークの設定にミスがあったという。AWS移行時のチェックに不備があったとしている。
企業向け研修サービス「サイバックスUniv.」のサーバに保存していた約25万人分の個人情報がGoogleで検索できる状態になっていた件を巡り、提供元のリスクモンスターは7月5日、原因はネットワークの設定ミスだったと発表した。過去にサーバをAWS移行した際、設定変更があったところ、チェック体制に不備がありミスにつながったという。
情報がGoogleで検索可能になっていたサーバは、サイバックスUniv.のサブシステム(システムの一部を構成する小規模なシステム、または予備や代替のシステム)の運用に使っていたもの。リスクモンスターによれば、サブシステムが抱える個人情報の洗い出しが不十分だった他、当時のサーバ移行が同社にとって初めて、独自にシステムをクラウド化する案件で、セキュリティの見直しが徹底できていなかったという。
リスクモンスターは対策として、サーバの設定変更のテスト体制を強化。外部の診断サービスも活用し、設定ミスのチェック体制を整える方針だ。個人情報保護委員会への報告も済ませたという。
同社が今回の事態を発表したのは4日。2020年2月16日から22年6月29日まで、サイバックスUniv.に登録していた人の会社名、部署名、氏名がGoogle検索からアクセスできる状態だったという。
外部からアクセスできた情報のうち、一部は実際に流出したことを確認した。少なくとも直近3カ月間(4日時点)で18件、Google経由でのアクセスがあり、うち1件では5934件の個人情報をダウンロードされていた。ただし、個人情報をダウンロードした人はすでにデータを削除済みという。当初、リスクモンスターは原因について調査中としていた。
関連記事
- 個人情報25万件がGoogle検索で丸見え、2年以上そのままに 企業向け研修サービスでトラブル、原因は調査中
リスクモンスターが、企業向け研修サービス「サイバックスUniv.」について、サーバに保存していた約25万人分の個人情報が、Googleで検索できる状態になっていたと発表した。一部情報は実際に漏えいを確認したという。 - 学生の顔写真や評価など、個人情報約5800人分漏えいの可能性でエイチームが謝罪 「リンクを知っている全員が閲覧可能」状態に
エイチームの新卒採用イベントに参加した人などの個人情報5857人分が、外部から閲覧可能になっていた。最長で6年以上前から閲覧が可能な状態だったという。原因は同社による、米Googleの個人向けクラウドサービスの設定ミス。 - サンリオ会員サイト、「サーバ設定ミス」で330万人の個人情報が閲覧可能に 5万人は日本人
「サンリオタウン」に登録された330万人分の個人情報が第三者によってアクセス可能だと指摘された問題について、サンリオが見解を公表した。 - SMBC日興証券・信託銀行、個人情報約12万件が閲覧可能な状態に Salesforce製品に設定ミス 一部で流出も
SMBC日興証券とSMBC信託銀行が不正アクセスを受け、合計11万8764件の個人情報が閲覧可能になっていたと発表。情報の管理に使っていたCRMツール「Salesforce」の権限設定に不備があったという。 - freee、個人情報約3000件が閲覧可能な状態に Salesforce製品の設定ミス
クラウド会計ソフトを提供するfreeeが、2898件の個人情報が外部から閲覧可能な状態になっていたと発表。「Salesforce」の設定に不備があり、第三者がアクセスできる状態になっていたという。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.