特定非営利活動法人日本ネットワークセキュリティ協会(JNSA)は6月26日、SECCON CTF for Girlsにて、申込者の個人情報が第三者から閲覧可能であったと発表した。文字のコピーができないPDFファイルで公開されている。
これはSECCON実行委員会が主催するSECCON CTF for Girlsにより運営されたイベント Kunoichi Cyber Game にて、運用設定時の人為的ミスでGoogle フォームのアクセス範囲・編集権限を「リンクを知っている全員」と設定したことが原因で 、予選会申込の編集ページにアクセスできる状態となっており、イベント申込サイトにアクセスしたユーザー全員が申込者の個人情報を閲覧可能であったことが判明したというもの。6月19日に外部から指摘があり発覚した。
予選会申込の編集ページにアクセスできたのは2024年5月31日午後2時46分から6月19日午後1時19分までの間で、閲覧可能な状態になっていたのは、Kunoichi Cyber Game 予選会申込サイトを利用した26名の下記の個人情報。なお、Google フォームから申込者の情報が、大会主催者以外の第三者からダウンロードされたログはない。
氏名(ローマ字)
メールアドレス
Beginners CTF で登録したチーム名
国籍(日本国籍か否か)
国内在住か国外在住か
2024年11月15日時点で18歳以上30歳未満か否か
予選通過の場合、CODEBLUE(2024年11月14日・15日)に両日参加可能か
予選通過の場合、チームメンバと協力して準備が進められるか
JNSAでは6月20日に、参加者に謝罪と対応状況の連絡を行っている。
JNSAでは下記の対応を徹底し、再発防止に努めるとのこと。
・Google フォームのアクセス範囲・権限を「リンクを知っている全員」が設定できないようにポリシーにて強制
・関係者間で Google フォームを共有する際は、関係者のアカウントからのみアクセスを許可する運用とする
・Google フォームが適切な権限設定になっているか、想定通りの挙動をしているかをフォーム作成時に都度確認する
