個人情報25万件が“Google検索で丸見え”のリスクモンスター、原因はAWS移行時の設定ミス

1

2022年07月07日 11:22  ITmedia NEWS

  • チェックする
  • つぶやく
  • 日記を書く

ITmedia NEWS

写真サイバックスUniv.の公式サイト
サイバックスUniv.の公式サイト

 企業向け研修サービス「サイバックスUniv.」のサーバに保存していた約25万人分の個人情報がGoogleで検索できる状態になっていた件を巡り、提供元のリスクモンスターは7月5日、原因はネットワークの設定ミスだったと発表した。過去にサーバをAWS移行した際、設定変更があったところ、チェック体制に不備がありミスにつながったという。



【その他の画像】



 情報がGoogleで検索可能になっていたサーバは、サイバックスUniv.のサブシステム(システムの一部を構成する小規模なシステム、または予備や代替のシステム)の運用に使っていたもの。リスクモンスターによれば、サブシステムが抱える個人情報の洗い出しが不十分だった他、当時のサーバ移行が同社にとって初めて、独自にシステムをクラウド化する案件で、セキュリティの見直しが徹底できていなかったという。



 リスクモンスターは対策として、サーバの設定変更のテスト体制を強化。外部の診断サービスも活用し、設定ミスのチェック体制を整える方針だ。個人情報保護委員会への報告も済ませたという。



 同社が今回の事態を発表したのは4日。2020年2月16日から22年6月29日まで、サイバックスUniv.に登録していた人の会社名、部署名、氏名がGoogle検索からアクセスできる状態だったという。



 外部からアクセスできた情報のうち、一部は実際に流出したことを確認した。少なくとも直近3カ月間(4日時点)で18件、Google経由でのアクセスがあり、うち1件では5934件の個人情報をダウンロードされていた。ただし、個人情報をダウンロードした人はすでにデータを削除済みという。当初、リスクモンスターは原因について調査中としていた。


ランキングIT・インターネット

前日のランキングへ

ニュース設定