全日本スキー連盟、権限のない会員が全会員の個人情報を閲覧できる状態に 管理システムに不具合
全日本スキー連盟が、会員システムで管理していた個人情報11万件超について、本来は権限のないユーザーが閲覧できる状態になっていたと発表した。検索機能に不具合があったという。一部の情報は、本来権限を持たない会員が実際に閲覧した。
全日本スキー連盟は10月4日、クラウド型会員管理サービスなどを手掛けるしゅくみねっと(東京都目黒区)のシステムで管理していた会員情報11万件超について、権限のない会員が閲覧できる状態になっていたと発表した。一部の情報は権限を持たない会員が閲覧したという。問題はすでに修正済み。
原因は、全日本スキー連盟に加盟するクラブ・団体の管理者向け検索機能の不具合。日付から会員を検索するとき、カレンダーで選択できる「西暦/月/日」以外の値を入力して検索すると、本来その管理者が見られないものも含め、全ての情報を閲覧できたという。
「検索条件の入力値にエラーがあった場合、本来であれば管理配下の会員のみを表示対象とした上でエラーメッセージ出すところ、プログラムに誤りがあり、無条件での検索を行うよう設定されてしまっていた」(しゅくみねっと)という。その情報をCSVファイル化してダウンロードすることも可能だった。
閲覧可能になっていた情報は、会員の番号、氏名、所属するクラブ・団体など11万807件。さらにCSVファイルとしてダウンロードした場合は、氏名、生年月日、性別、郵便番号、住所、電話番号、メールアドレス、所属するクラブや団体・会員番号なども確認できた。ただしいずれもクレジットカード情報などは含んでいないという。
全日本スキー連盟としゅくみねっとによれば、2団体の管理者が実際に全情報を検索した他、1団体の管理者がCSVファイルをダウンロードしていたという。CSVファイルには223件の会員情報が入っていた。ただし3団体の管理者にはすでに接触済みで、閲覧・保存した情報が外部に流出していないことを確認済みという。
事態を受け、しゅくみねっとは他の機能においても同様の事象が起きていないか確認中という。しゅくみねっとは99年創業。クラウド型の会員管理・入金管理サービス「Shikuminet」(シクミネット)を07年から提供している。シクミネットのユーザー数は22年10月時点で300万人以上という。
関連記事
- 米Slack、プレイド従業員のメアドなど別企業に誤送信 2500人分以上の情報が漏えいした可能性
Web接客ツールなどを提供するプレイドが、従業員や取引先2555人分のメールアドレスなどが漏えいした可能性があると発表した。米Slack Technologiesが誤って別の米国企業に送信したという。 - 「クラウド設定ミス」がなくならないワケ 実は経営側にも責任? セキュリティ診断企業に聞く
クラウドの設定ミスに起因するセキュリティのトラブルが後を絶たない。こういったミスがなくならない背景には、単純な手違いだけでなく企業の経営側にも原因があるという。セキュリティ診断を手掛けるラックに、設定ミスがなくならない理由を聞く。 - クラウドの設定ミスを防ぐコツは? 100を超えるSaaSを比較した“SaaSおじさん”に聞く
クラウドサービスを導入する企業が増える一方で、設定ミスなどが原因のセキュリティ事故を心配する声も多い。では、どのような対策があるのか。クラウドの導入支援を手掛けるネクストモードの“SaaSおじさん”に説明してもらった。 - Salesforce、Trello……“設定ミス”で情報漏えい、どう防ぐ? 注意点を専門家に聞く
「Salesforce」や「Trello」といったSaaSの設定ミスに起因する情報漏えいが相次いでいる。しかしDXの推進が叫ばれる今、SaaSの利用を取りやめる判断は現実的ではない。企業はどうすれば情報漏えいを防ぎつつ、SaaSを使い続けられるのか、注意点を専門家に聞いた。 - クラウドの設定ミス、気を付けても見落としがちな“あるポイント” セキュリティ診断会社に聞く
クラウドサービス、特にSaaSの設定ミスによって相次ぐ情報流出。こういった動向を受け、外部の診断サービスなどを使い、自社が利用しているクラウドサービスの設定を見直す企業が出ているかもしれない。そこで、実際に診断サービスを提供するラックに、企業の動向や見落としがちな設定を聞いた。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.