予約問い合わせと思われるデータが外部から閲覧可能に | ScanNetSecurity
2026.07.09(木)

予約問い合わせと思われるデータが外部から閲覧可能に

 Scan編集部では7月22日、淡路島国際ホテル・アレックスの予約問い合わせのデータと思われるデータが、外部より何らの制限なしに閲覧可能であることを発見し、当該ホテルへと通報した。今回の件では、直接のデータであると思われるデータフォルダおよびその中のデータに

製品・サービス・業界動向 業界動向
 Scan編集部では7月22日、淡路島国際ホテル・アレックスの予約問い合わせのデータと思われるデータが、外部より何らの制限なしに閲覧可能であることを発見し、当該ホテルへと通報した。今回の件では、直接のデータであると思われるデータフォルダおよびその中のデータにはアクセス制限が施されており、閲覧できなかったが、管理者用と思われるCGIが誰でもアクセスできる状態になっており、そのCGIの権限にてデータを閲覧することが可能であった。なお、編集部から通報の後、約4時間後に当該ホテルより修正した旨の連絡を受けた。

 今回の件のように、重要なデータにアクセス制限をかけ、そのデータの扱いを簡易にするためにCGIを利用しているというケースは珍しくない。しかし、CGIは通常一般ユーザよりも高い権限を与えられているということに注意しなければならない。そのCGIの利用者の管理が杜撰なため、結局データが漏洩してしまうということもまた、珍しくない。管理用のインターフェースによって、Webや顧客データの管理を行っている方には、今一度管理用インターフェースのセキュリティを見直していただきたい。

淡路島国際ホテル・アレックス
http://www.hotel-arex.co.jp/ (現在は修正済み)

《ScanNetSecurity》

PageTop

アクセスランキング

  1. 5,016,432 人分の BIGLOBE メールアドレスが漏えい ~ KDDI の ISP 事業者向けメールシステムへの不正アクセス

    5,016,432 人分の BIGLOBE メールアドレスが漏えい ~ KDDI の ISP 事業者向けメールシステムへの不正アクセス

  2. 2,248,708 名分の @nifty メールアドレスが漏えい ~ KDDI の ISP 事業者向けメールシステムへの不正アクセス

    2,248,708 名分の @nifty メールアドレスが漏えい ~ KDDI の ISP 事業者向けメールシステムへの不正アクセス

  3. KDDI の ISP 事業者向けメールシステムへの不正アクセス、総務省が報告を求める

    KDDI の ISP 事業者向けメールシステムへの不正アクセス、総務省が報告を求める

  4. マネーフォワードが利用する「GitHub」への不正アクセス、流出した可能性が判明した個人データの詳細公表

    マネーフォワードが利用する「GitHub」への不正アクセス、流出した可能性が判明した個人データの詳細公表

  5. STNet のメールサービスを利用する 397,152 名分のアドレスとパスワードが漏えい ~ KDDI の ISP 事業者向けメールシステムへの不正アクセス

    STNet のメールサービスを利用する 397,152 名分のアドレスとパスワードが漏えい ~ KDDI の ISP 事業者向けメールシステムへの不正アクセス

ランキングをもっと見る
PageTop