予約問い合わせと思われるデータが外部から閲覧可能に | ScanNetSecurity
2026.04.16(木)

予約問い合わせと思われるデータが外部から閲覧可能に

 Scan編集部では7月22日、淡路島国際ホテル・アレックスの予約問い合わせのデータと思われるデータが、外部より何らの制限なしに閲覧可能であることを発見し、当該ホテルへと通報した。今回の件では、直接のデータであると思われるデータフォルダおよびその中のデータに

製品・サービス・業界動向 業界動向
18 views
facebookLINE
 Scan編集部では7月22日、淡路島国際ホテル・アレックスの予約問い合わせのデータと思われるデータが、外部より何らの制限なしに閲覧可能であることを発見し、当該ホテルへと通報した。今回の件では、直接のデータであると思われるデータフォルダおよびその中のデータにはアクセス制限が施されており、閲覧できなかったが、管理者用と思われるCGIが誰でもアクセスできる状態になっており、そのCGIの権限にてデータを閲覧することが可能であった。なお、編集部から通報の後、約4時間後に当該ホテルより修正した旨の連絡を受けた。

 今回の件のように、重要なデータにアクセス制限をかけ、そのデータの扱いを簡易にするためにCGIを利用しているというケースは珍しくない。しかし、CGIは通常一般ユーザよりも高い権限を与えられているということに注意しなければならない。そのCGIの利用者の管理が杜撰なため、結局データが漏洩してしまうということもまた、珍しくない。管理用のインターフェースによって、Webや顧客データの管理を行っている方には、今一度管理用インターフェースのセキュリティを見直していただきたい。

淡路島国際ホテル・アレックス
http://www.hotel-arex.co.jp/ (現在は修正済み)

《ScanNetSecurity》

PageTop

アクセスランキング

  1. 「すでに感染してしまった」最悪のシナリオで訓練実施 ~ LINEヤフーのランサムウェア対応訓練

    「すでに感染してしまった」最悪のシナリオで訓練実施 ~ LINEヤフーのランサムウェア対応訓練

  2. ホームページ内の個人情報非表示の Excel ファイルは検索エンジンの検索結果から閲覧可能

    ホームページ内の個人情報非表示の Excel ファイルは検索エンジンの検索結果から閲覧可能

  3. テインへのランサムウェア攻撃、サーバ上に犯行声明文ファイルを確認

    テインへのランサムウェア攻撃、サーバ上に犯行声明文ファイルを確認

  4. 開発者が実施すべき脆弱性対処と開示方法掲載 ~ IPA、ソフトウェアの製品開発者向け・製品利用者向けガイドを公開

    開発者が実施すべき脆弱性対処と開示方法掲載 ~ IPA、ソフトウェアの製品開発者向け・製品利用者向けガイドを公開

  5. 埼玉大学の特許管理システム運用サーバでランサムウェア感染の痕跡、個人情報が外部から閲覧された可能性

    埼玉大学の特許管理システム運用サーバでランサムウェア感染の痕跡、個人情報が外部から閲覧された可能性

ランキングをもっと見る
PageTop
ホーム 製品・サービス・業界動向 業界動向 記事
TOP