設定などのミスで顧客情報が検索可能な状態に（グラフィック）

グラフィックは、顧客の個人情報が検索エンジンのクロールにより閲覧可能な状態にあったことが判明したと発表した。

インシデント・事故インシデント・情報漏えい

29 views

2013.1.22 Tue 17:16

株式会社グラフィックは1月17日、顧客の個人情報が検索エンジンのクロールにより閲覧可能な状態にあったことが判明したと発表した。これは1月11日に外ユーザから連絡を受け、調査により判明したもの。ユーザがインポートした個人情報を含む宛名情報（CSVファイル）が、宛名リストへ登録されなかった場合に、そのファイルがサーバ上の閲覧可能領域に残り、検索エンジンから認識（クロール）されることによって、特定の氏名などの検索により、そのファイルが閲覧可能な状態となっていた。

アクセスログの分析により、閲覧可能であったファイル数は25件、実際にアクセスがあったファイル数は8件。なお、そのうち4件は発見者が確認のため閲覧されたもの。閲覧可能であったファイル内の個人情報の合計は1,760件程度であったという。システム的には、アップロードされたCSVファイルが登録されなかった場合に機能すべき、即時に自動削除するプログラムが機能しておらず、一部のファイルが削除されず残っていた。さらに、検索エンジンからのアクセスが可能な設定となっていたという。また、検索エンジンの認識の対象外となる設定を施し、一般のユーザに読み取れないよう非公開領域にアップロードされるようにすべきであったとしている。

《吉澤亨史（ Kouji Yoshizawa ）》