予約問い合わせと思われるデータが外部から閲覧可能に | ScanNetSecurity
2026.03.12(木)

予約問い合わせと思われるデータが外部から閲覧可能に

 Scan編集部では7月22日、淡路島国際ホテル・アレックスの予約問い合わせのデータと思われるデータが、外部より何らの制限なしに閲覧可能であることを発見し、当該ホテルへと通報した。今回の件では、直接のデータであると思われるデータフォルダおよびその中のデータに

製品・サービス・業界動向 業界動向
18 views
facebookLINE
 Scan編集部では7月22日、淡路島国際ホテル・アレックスの予約問い合わせのデータと思われるデータが、外部より何らの制限なしに閲覧可能であることを発見し、当該ホテルへと通報した。今回の件では、直接のデータであると思われるデータフォルダおよびその中のデータにはアクセス制限が施されており、閲覧できなかったが、管理者用と思われるCGIが誰でもアクセスできる状態になっており、そのCGIの権限にてデータを閲覧することが可能であった。なお、編集部から通報の後、約4時間後に当該ホテルより修正した旨の連絡を受けた。

 今回の件のように、重要なデータにアクセス制限をかけ、そのデータの扱いを簡易にするためにCGIを利用しているというケースは珍しくない。しかし、CGIは通常一般ユーザよりも高い権限を与えられているということに注意しなければならない。そのCGIの利用者の管理が杜撰なため、結局データが漏洩してしまうということもまた、珍しくない。管理用のインターフェースによって、Webや顧客データの管理を行っている方には、今一度管理用インターフェースのセキュリティを見直していただきたい。

淡路島国際ホテル・アレックス
http://www.hotel-arex.co.jp/ (現在は修正済み)

《ScanNetSecurity》

PageTop

アクセスランキング

  1. L2 スイッチでゼロトラストを実現、「セキュリティ予算」でなく「ネットワーク機器予算」で導入 ~ パイオリンクが語る超現実解

    L2 スイッチでゼロトラストを実現、「セキュリティ予算」でなく「ネットワーク機器予算」で導入 ~ パイオリンクが語る超現実解PR

  2. 誤操作の発覚を恐れて委託先社員がログから記録を削除・変更したことが原因 ~ JAL「手荷物当日配送サービス」システム障害

    誤操作の発覚を恐れて委託先社員がログから記録を削除・変更したことが原因 ~ JAL「手荷物当日配送サービス」システム障害

  3. 厚生労働省初動対応チームの派遣を受け対応 ~ 白梅豊岡病院にランサムウェア攻撃

    厚生労働省初動対応チームの派遣を受け対応 ~ 白梅豊岡病院にランサムウェア攻撃

  4. アドバンテストのネットワークに不正アクセス、ランサムウェア展開可能性

    アドバンテストのネットワークに不正アクセス、ランサムウェア展開可能性

  5. 第一生命グループ 保険代理店 28 社から出向者 64 名が不適切な情報取得

    第一生命グループ 保険代理店 28 社から出向者 64 名が不適切な情報取得

ランキングをもっと見る
PageTop
ホーム 製品・サービス・業界動向 業界動向 記事
TOP