「四万十町施設予約システム」で誤設定、登録者9名の情報閲覧可能か|サイバーセキュリティ.com

「四万十町施設予約システム」で誤設定、登録者9名の情報閲覧可能か



画像:タイムカプセル株式会社より引用

タイムカプセル株式会社は2023年3月31日、同社が開発を担当した「四万十町施設予約システム」のサーバーに採用しているAWSについて誤設定があり、利用登録者9名の情報を第三者が閲覧できる状態にあったと明らかにしました。

説明によると、タイムカプセル社は2022年12月にシステムをリリースしましたが、2023年1月6日になり、「別人の個人情報を閲覧できる」事象が発覚。同社が調査したところAWSのCDNサービス「CloudFront」のキャッシュポリシー最小TTL1秒にしたまま公開しており、1秒以内に同じページにアクセスが重なった場合、別人の情報を閲覧できる状態にあったと判明しました。

同社は問題を受け対象者に謝罪しています。また、最小TTLを0秒に再設定し、システム全体も再テストを完了。今後はクロスチェック体制を徹底するなど再発防止に努める考えを明かしました。

参照弊社開発の「四万十町施設予約システム」における個人情報等流出およびシステム停止のお詫び、システム再開のお知らせ/タイムカプセル株式会社


セキュリティ対策無料相談窓口


「セキュリティ対策といっても何から始めたら良いかわからない。」「セキュリティ対策を誰に相談できる人がいない。」等のお悩みのある方、下記よりご相談ください。

無料相談はこちら

SNSでもご購読できます。