ご自身の購買履歴を他のお客さまがログイン後閲覧できる状態およびご自身がマイページにログイン後、他のお客さまの注文履歴が閲覧できる状態
購入商品、お名前、住所、電話番号、メールアドレス、クレジットカード下3桁
ご自身の情報について他のお客さまが閲覧できる状態 10名
他のお客さまの情報が閲覧できる状態 11名
上記事象が重複している状態 9名
個人情報漏洩の範囲: 1名
※他のお客さまの情報を閲覧できる状態の方のログイン情報を確認した結果
店頭受取商品の受注確定時におけるデータ加工ミス。
雑記系ブログ。セキュリティとか、マイルとか、投資とか、、、 / Miscellaneous Blogs. Security, miles, investments, etc
ご自身の購買履歴を他のお客さまがログイン後閲覧できる状態およびご自身がマイページにログイン後、他のお客さまの注文履歴が閲覧できる状態
購入商品、お名前、住所、電話番号、メールアドレス、クレジットカード下3桁
ご自身の情報について他のお客さまが閲覧できる状態 10名
他のお客さまの情報が閲覧できる状態 11名
上記事象が重複している状態 9名
個人情報漏洩の範囲: 1名
※他のお客さまの情報を閲覧できる状態の方のログイン情報を確認した結果
店頭受取商品の受注確定時におけるデータ加工ミス。
a)応募者様の数
閲覧のおそれがある応募者様の数(※106名)※2023年11月11日付公表の108名の中に、2名の重複がありました。
b)情報の内容
履歴書および職務経歴書に記載された応募者様の情報、職務経歴など。
豊田市立豊南中学校(生徒数:692人/水源町)において、3年生の生徒214人分の進路希望調査のデータが、令和5年10月10日(火曜日)から15日(日曜日)午後11時頃まで、特定のクラスの生徒(31人)の学習用タブレットから閲覧できる状態であったことが発覚しました。
令和5年10月15日(日曜日)
データを閲覧した生徒の保護者から、「他のクラスの子の進路希望調査のデータを見ることができるが大丈夫か。」という連絡が担任教諭に入り、3年生の生徒214人分の進路希望調査(志望校など)のデータが閲覧できる状態であったことが発覚した。
事態を把握した同校の教諭が当該データを削除。
学校長が担当教諭及びその教諭が受け持つクラスの生徒に事実確認を行い、特定のクラスの生徒のみが当該データを閲覧できる状態であったことを確認。また市教育センターによる調査の結果、当該データは10月10日(火曜日)に掲載されたことを確認。同日学年集会を開き、3年生の生徒に説明及び謝罪を行った。
教諭が本件とは無関係のデータを学習用タブレットからアップロードしようとした際、誤って本来共有してはいけないデータをアップロードしてしまったことによるもの。
個人情報を扱うデータの保存場所についてのルールを徹底するとともに、アップロード前に複数の教諭でチェックする体制を強化する。
10月18日(水曜日)午後6時から保護者説明会を開催し、謝罪及び経緯、再発防止策について説明を行う。
いつもWOWOWをご利用いただきありがとうございます。
当社は、「ふるいち イオンモール幕張新都心店」のオープン(2023 年 10 月 19 日予定)に先立って、同店のグランドオープン記念として、トレーディングカードの web 事前抽選の受付を、当社の「ふるいち店舗情報サイト」(https://www.furu1.net/index.html)上で、2023 年 10 月 9 日 18:00 ごろから開始しました。
しかしながら、受付開始後複数の抽選申込者様から、抽選申込の入力内容確認画面において、抽選申込者様とは異なる個人情報が表示されるとのご指摘をいただき、20:00 ごろに抽選受付を停止しました。
本事案の発生を受け、当社内に同日中に「緊急対策本部」を設置し、影響範囲の調査を開始しました。現時点で上記の約 2 時間の間に抽選申込をされた抽選申込者様約 770 名の入力情報が、他の申込者様の入力内容確認画面に表示された可能性があることが判明しております。
また、ご指摘をいただいた抽選申込者様の他に同様の現象が発生していないかどうかを、「ふるいち店舗情報サイト」の保守委託先である株式会社サイト・パブリス(東京都千代田区九段南一丁目 4 番 5 号、代表取締役社長 二通 宏久)と共同で調査を行っております。
なお、流出した可能性のある個人情報は、氏名、生年月日、住所、電話番号、メールアドレスであり、クレジットカード情報等の決済に係る情報は含まれておりません。また、現時点で該当ページにおける抽選受付は停止しており、今後、上記の現象により新たな流出が生じる懸念はないものと考えております。
ご指摘をいただいた抽選申込者様をはじめとした本 web 事前抽選に関係する皆様に対し、多大なるご迷惑とご心配をおかけしておりますことをお詫びするとともに、当社の関係者の皆様に対してもご懸念を抱かせてしまいましたこと併せてお詫び申し上げます。上記調2査の進捗に応じて本 web 事前抽選に関係する皆様に個別に対応を行い、並びに調査結果及び再発防止策を速やかに取りまとめ、準備が整い次第改めて開示することをお知らせいたします。
MicrosoftのAI研究部門は、2020年7月から始まり、公開のGitHubリポジトリにオープンソースのAI学習モデルを共有する過程で、重大なデータ漏洩事件を引き起こしていました。この事実は、ほぼ3年後の最近になってクラウドセキュリティ専門企業Wizによって発見されました。Wizのセキュリティリサーチャーは、Microsoftの従業員が誤って漏洩情報を含むAzure BlobストレージバケットのURLを共有したことを明らかにしました。
このデータ漏洩は、過度に許容的なShared Access Signature(SAS)トークンの使用に関連しているとMicrosoftは述べています。このAzureの機能は、データ共有を可能にし、しかしWizの研究者によれば、この機能は監視と取り消しに難航すると説明されています。正しく使用される場合、SASトークンは、ストレージアカウント内のリソースへの委任アクセスを安全に許可する手段を提供します。これには、クライアントのデータアクセスに対する正確な制御、彼らが対話できるリソースの指定、これらのリソースに対する権限の定義、およびSASトークンの有効期間の決定が含まれます。
Wizは警告して、監視とガバナンスの不足のため、SASトークンはセキュリティリスクをもたらし、その使用はできる限り制限されるべきであると述べています。これらのトークンは非常に追跡が困難で、MicrosoftはAzureポータル内でこれらを管理するための集中化された方法を提供していないためです。さらに、これらのトークンは効果的に永続的に設定され、有効期限に上限がないため、Account SASトークンを外部共有に使用することは安全ではなく、避けるべきであるとも述べています。
Wizの研究チームは、オープンソースモデルの他に、この内部ストレージアカウントは38TBの追加のプライベートデータへのアクセスも誤って許可していたことを発見しました。漏れたデータには、Microsoft社員の個人情報のバックアップ、Microsoftサービスのパスワード、秘密キー、および359名のMicrosoft社員からの30,000以上の内部Microsoft Teamsメッセージのアーカイブが含まれていました。この事件に対するMicrosoft Security Response Center (MSRC) チームのアドバイザリーでは、顧客データは漏洩せず、他の内部サービスもこの事件のために危険にさらされていないとMicrosoftは述べています。
出典:Microsoft leaks 38TB of private data via unsecured Azure storage