委託先のアクセス制限誤り、佐賀市お問い合わせフォーム送信画像が閲覧可能に | ScanNetSecurity
2024.06.13(木)

委託先のアクセス制限誤り、佐賀市お問い合わせフォーム送信画像が閲覧可能に

佐賀県佐賀市は3月2日、同市Webサイトにて問い合わせ等の際に添付された個人情報を含む画像データがインターネット上で閲覧可能な状態であったことが判明したと発表した。

インシデント・事故 インシデント・情報漏えい
トップページ
トップページ 全 6 枚 拡大写真
佐賀県佐賀市は3月2日、同市Webサイトにて問い合わせ等の際に添付された個人情報を含む画像データがインターネット上で閲覧可能な状態であったことが判明したと発表した。

佐賀市では株式会社プライムにWebサイトの改修と管理業務を委託しており、2019年10月のデザイン変更等の改修に合わせてメール送信フォームに画像添付機能を追加、本機能を利用し送信された画像データはランダムに自動付与されたファイル名によりサーバに保存された後、メール本文とともに各課に送信される仕組みであった。

メール送信フォームに入力された送信者情報や内容等のメール送信履歴は、第三者が閲覧できないようアクセス制限を設定してが、その一方で、画像データには、第三者の閲覧を防ぐアクセス制限を適切に設定しておらず、特定のURLを直接入力することで画像データの閲覧が可能となっていた。

同市では、メール送信フォームへの機能追加の際に、プライム社に対し画像データの保存フォルダへの第三者からのアクセスを制限するよう指示していたが適切に処理されておらず、その確認ができていなかったことが原因。

2月25日午後6時35分に当該サイトの「各課へのお問い合わせ」から秘書課宛に情報提供があり、翌2月26日に同市にて情報提供内容を確認し、プライム社にて当該フォルダへのアクセス制限、サーバ上のファイルをバックアップしたうえで削除、当該フォルダへのアクセスログの解析結果の報告を行った。

閲覧可能であった画像データは986件で、内容は次の通り。

・個人情報を含む画像データ:123件
マイナンバーカード:4件、同通知カード:2件、運転免許証:2件、パスポート:2件、申請書等:113件

・個人情報を含まない画像データ:863件
風景や浸水状況等の報告写真、イラストなど

同市では2月26日に総務省と佐賀県へインシデント報告を、3月1日に送信者へシステムの不備に関する報告と謝罪及び今後の対応窓口を連絡した。

なお、画像には3つのIPアドレスから982件のアクセスがあったが、全て情報提供者のアクセスであることを確認した。

同市では今後、「佐賀市情報セキュリティポリシー」の外部委託等に関する契約事項の規定にシステムで利用されるデータの取扱いについてデータは残さないなどはっきり分かるよう明記し、外部との情報のやり取りを行うシステムの開発では運用開始後に利用者から提供される個人情報等が適切に保護されるよう開発仕様書に明記、システム上での個人情報等の保護対策についての説明を求め、適切にセキュリティが確保されているか確認を徹底し、再発防止に努めるとのこと。

《ScanNetSecurity》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. イセトーにランサムウェア攻撃、複数のサーバと PC が暗号化被害

    イセトーにランサムウェア攻撃、複数のサーバと PC が暗号化被害

  2. 失業後データ盗み大手 IT 企業を恐喝、セキュリティコンサルタント 57 歳起訴

    失業後データ盗み大手 IT 企業を恐喝、セキュリティコンサルタント 57 歳起訴

  3. 6日後 警察署から「見つかった」~ 日刊工業新聞社のノートパソコンとスマートフォンが盗難被害

    6日後 警察署から「見つかった」~ 日刊工業新聞社のノートパソコンとスマートフォンが盗難被害

  4. 不正アクセス 盗まれたのは公式サイトのドメイン

    不正アクセス 盗まれたのは公式サイトのドメイン

  5. デジタル庁「テキスト生成 AI 利活用におけるリスクへの対策ガイドブック(α版)」公開

    デジタル庁「テキスト生成 AI 利活用におけるリスクへの対策ガイドブック(α版)」公開

  6. 「タリーズ オンラインストア」への不正アクセス、イオン銀行ではカードの不正利用早期に発見体制を整備

    「タリーズ オンラインストア」への不正アクセス、イオン銀行ではカードの不正利用早期に発見体制を整備

  7. 公開範囲「パブリック」で生徒の個人情報アップロード、都立高校教諭が Microsoft Teams に

    公開範囲「パブリック」で生徒の個人情報アップロード、都立高校教諭が Microsoft Teams に

  8. 山口県信用保証協会のメールアカウントを不正利用、迷惑メール大量送信確認

    山口県信用保証協会のメールアカウントを不正利用、迷惑メール大量送信確認

  9. PR会社が利用するクラウドストレージに不正アクセス、PDFや画像など静的データ削除

    PR会社が利用するクラウドストレージに不正アクセス、PDFや画像など静的データ削除

  10. CTFの覇者 市川遼が目指す「GMOイエラエの技術者が攻撃しようとするときに最初にやること全部の完全自動化」~ ネットde診断 for ASM

    CTFの覇者 市川遼が目指す「GMOイエラエの技術者が攻撃しようとするときに最初にやること全部の完全自動化」~ ネットde診断 for ASMPR

ランキングをもっと見る