マイナビ「TECH+」で個人情報漏えいの可能性/他4記事

2023.05.15

マイナビ「TECH+」で個人情報漏えいの可能性

マイナビ（東京都千代田区）は4月26日、自社で運営するIT・テクノロジー情報サイト「TECH＋（テックプラス）において、過去のセミナーに参加した1210人分の個人情報が、およそ3年にわたり検索エンジンを介して閲覧できる状態になっていたと発表した。

過去のセミナーに登録した人の個人情報を含むデータを使って企画資料を作成したところ、一定の操作を行うと個人情報が閲覧できる状態になっていた。さらにこの資料をCRM（Customer Relationship Management）システムで営業代理店などに提供した際、設定の誤りから検索エンジンを介して閲覧できる状態になった。

マイナビでは社員教育の拡充、資料を複数人でチェックするフローの構築など再発防止に努めるとしている。

参照：マイナビ「TECH+」で個人情報漏えいの可能性　セミナー参加者1210人分

朝日工業社、クラウド型名刺管理サービスへの不正アクセスについて発表

株式会社朝日工業社は4月26日、同社が利用しているクラウド型名刺管理サービスへの不正アクセスについて発表した。これは3月20日に、クラウド型名刺管理サービスの運営会社から同社従業員のIDを使用した不正アクセスの可能性があるため当該従業員のアカウントを停止したとの連絡があり、朝日工業社で当該アカウントによるアクセス記録を調査したところ、不正アクセスを確認したというもの。

同社では再発防止策として、パスワードの強度を上げる等のデータへのアクセス時のセキュリティ強化と社内における情報セキュリティ教育を強化するとしている。

参照：名刺管理システムへ不正アクセス、サービス運営会社からの連絡で発覚

串本町で介護保険料の納付書を誤送付したことが発覚

和歌山県東牟婁郡の町である串本町の税務課職員が、介護保険料の納付書を誤送付したことにより、1名分の個人情報が漏えいする事案が発生した。
串本町からは「このような事態を招いたことを深く反省し、今後は、職員の個人情報の適切な取扱いを徹底し、再発防止に努めてまいります。」と発表している。

参照：介護保険料納付書の誤送付による個人情報の漏えいについて

名古屋大学で個人情報の漏えい

国立大学法人東海国立大学機構名古屋大学は4月28日、同学への不正アクセスによる2件の個人情報漏えいについて発表した。

1件目は同学大学院理学研究科で3月17日に、所属する教員のメールアカウントから大量のメール送信を確認したため調査したところ、2022年2月16日から3月17日、12月16日から12月26日の期間に、海外のIPアドレスから当該アカウントへの不審なアクセスが判明している。
2件目は、同学大学院理学研究科で3月15日に、所属する職員のメールアカウントから大量のメール送信を確認したため調査したところ、2022年12月18日に海外のIPアドレスから当該アカウントへの不審なアクセスが判明している。

名古屋大学では、メールに氏名が記載されていた同学関係者にメールまたは郵送で事実関係の説明を行っている。

参照：名古屋大学教職員のメールアカウントに不正アクセス、大量のメール送信で発覚

GitHub、セキュリティ機能「Push Protection」をパブリックリポジトリに対しても無償で提供

GitHubは米国時間の5月9日に、「Push protection is generally available, and free for all public repositories｜The GitHub Blog」において、セキュリティ機能「Push Protection」をパブリックリポジトリに対しても無償で提供すると伝えた。この機能を使用することで、パブリックリポジトリに誤ってパスワードやアクセストークンなどを含めてしまうなどのミスを回避しやすくなるとされている。

GitHubは開発者にとってデファクトスタンダードなホスティングサービスであり、世界中で利用されている。開発者はしばしばこのサービスのリポジトリに誤ってパスワードやアクセストークンといった機密情報を含めてしまうことがある。サイバー攻撃者はGitHubのパブリックリポジトリを走査して機密情報を収集して悪用していることが分かっている。

今回GitHubがパブリックリポジトリに対しても無償公開を開始したPush Protection機能は、このようなサイバー攻撃への悪用を防止する機能として効果が期待できる。

参照：機密情報の公開を防ぐGitHubの有償セキュリティ機能、無償で提供開始