全1607文字
PR

著名なセキュリティーリサーチャーのpiyokango氏が注目のシステムトラブルをピックアップ。今週の注目ネタは……。

 今回は、3件のトピックを取り上げる。第一生命保険の顧客の個人情報流出の可能性、J&T環境のWebサイトへの不正アクセス被害、ヴィアックスのランサムウエア感染である。

特殊な手順で閲覧できると第三者が指摘

 第一生命保険は2022年6月3日、同社が提供する「年金通信メール通知サービス」において第三者がサービスに登録した人の個人情報を閲覧できる可能性があったとして謝罪した。年金通信メール通知サービスは、企業年金の関連情報や市況に関するリポートを顧客向けに公開した際にメールで通知するサービス。

「年金通信メール通知サービス」からの個人情報流出の可能性について
「年金通信メール通知サービス」からの個人情報流出の可能性について
(出所:第一生命保険)

 同社は2022年5月30日、セキュリティー関連の第三者から登録者情報を閲覧する機能を悪用できる可能性があると指摘を受けて調査を開始。その結果、特殊な手順で登録者の名前や勤務先情報、電話番号、メールアドレスを閲覧できる脆弱性があることが分かった。外部の専門機関の協力を得ながら、同日午後6時に登録者情報を閲覧する機能を停止し、アクセスログを確認したところ、脆弱性を悪用された痕跡は見つからなかったとしている。

 当該サービスは2013年6月から提供していたが、全期間のアクセスログは残っていなかったため、個人情報流出の有無を完全には確認できないという。個人情報が流出した可能性がある登録者は1209人。サービスは発表時点でも停止したままで、今後は再開に向けた準備を進め、再開時にはWebサイトで通知するとしている。また登録者に対しては同社になりすました連絡に注意をするよう呼びかけた。

(第一生命保険の発表資料)