全1028文字
PR

著名なセキュリティーリサーチャーのpiyokango氏が注目のシステムトラブルをピックアップ。今週の注目ネタは……。

 今回は2件のトピックを紹介する。大東建託のデータ共有機能による情報流出と、銀行スマホアプリで同時発生した障害である。

URLを使ったデータ共有機能を利用(7月31日)

 大東建託とそのグループ2社は、グループ全体で使用していたデータ共有機能を通じて顧客情報が流出したことを明らかにした。賃貸物件を探していた顧客が2020年7月20日、「他の顧客情報を閲覧できる」と連絡したことで情報流出を把握したという。

顧客情報の流出に関するおわび
顧客情報の流出に関するおわび
出所:大東建託

 同グループのデータ共有機能は契約や物件に関する資料を顧客に送付する際に利用する。サーバーにファイルをアップロードして、そのサーバーのURLを通知することでファイルを共有する。

 このURLを他者が推測可能だったことが情報流出につながった。URLに含まれる数値が連番になっていたため、URLを入手した顧客が数値を変更することで他の顧客のファイルにアクセスできたという。この機能は2012年6月18日から2020年7月20日までの8年以上も使われていた。

 同社の調査によれば、サーバーにアップロードされていた個人情報を含むファイルは331件で、687人の名前と住所などが含まれていた。発表時点で第三者による不正利用などの事実は見つかっていないとしている。

 同社は国土交通省に今回の経緯を報告し、顧客には個別に連絡したという。また顧客とのデータ共有はセキュリティーを確保したメールによるデータ送信に変更したとしている。

https://www.kentaku.co.jp/corporate/pr/info/2020/aqehc4000000r6ip-att/jouhou_osirase_0731.pdf