B
今週中
東京都の「東京デジタルアカデミー(TDA)ポータルサイト」において、アクセス制御の不備により個人情報が閲覧可能な状態になっていたこと
📌 一言でいうと
東京都の「東京デジタルアカデミー(TDA)ポータルサイト」において、アクセス制御の不備により個人情報が閲覧可能な状態になっていたことが判明しました。影響を受けたのは行政職員最大2,438人および一般住民2人で、氏名、メールアドレス、ハッシュ化されたパスワードが保存されていました。アクセスログの確認により、過去にCSVファイルがダウンロードされていたことが確認されており、現在は設定修正が完了しています。
ℹ️ これは他社で発生した事案の情報です。貴社が当該サービスを利用していない場合は、参考情報としてご確認ください。同様の攻撃手法に対する備えのきっかけとしてもご活用いただけます。
🔍該当判定
- 東京都が運営する「東京デジタルアカデミー(TDA)ポータルサイト」を利用している
- 自社で「職員向けポータルサイト」や「社内限定サイト」を構築・運用している
- 外部業者に委託して、特定のユーザーのみが閲覧できる「会員制サイト」や「管理画面」を構築してもらった
- Webサイト上の特定のフォルダ(保存領域)に、パスワードなしでアクセスできる設定になっていないか確認が必要な状況にある
上記いずれにも該当しない → 静観でOK
✅該当時の対応
Webアプリケーションの公開前に、権限のないユーザーが機密データ領域にアクセスできないか、アクセス制御リスト(ACL)や認証認可設定の徹底的な検証を行うこと。