岩手県は2025年12月8日、物価高騰対策賃上げ支援金事業に関する事務局ポータルサイト上で、個人情報が外部から閲覧できる状態になっていたと公表し、謝罪しました。
概要
問題となったのは、県から委託を受けた事務局(東武トップツアーズ、テレビ岩手、岩手日報広告社、manordaいわて の4社で構成)が、事務局内の情報共有のために構築したポータルサイトです。
このサイトが、事務局開設の2025年2月から同年11月28日まで約9か月間、インターネット上から閲覧可能な状態となっており、物価高騰対策賃上げ支援金の申請や問い合わせを行った5,707事業者分の情報が、第三者からも閲覧できる状況にありました。
対象となったのは、支援金を申請した中小企業などの「担当者」に関する情報で、氏名(姓のみの場合も含む)や電話番号(個人携帯番号が含まれるケースあり)、住所などが含まれています。支援金の対象となった個々の従業員の氏名は、今回閲覧可能となっていた資料には含まれていないと説明されています。
県は「物価高騰対策賃上げ支援金の申請事業者や関係者、県民の皆様に心からお詫びする」とし、個人情報の管理徹底と再発防止に努めるとしています。
どのように発覚し、どのような状態だったのか
11月28日、県内の自治体職員がインターネットで「物価高騰対策賃上げ支援金」に関する情報を検索したところ、事務局ポータルサイトに接続され、事務局が保有している各種資料が閲覧できる状態になっていることに気付きました。
その連絡を受けた県の担当者も、同様に資料が閲覧できることを確認しています。
調査の結果、
Google など一部の検索エンジンでは検索結果に表示されていなかった一方で、
Bing で検索すると該当ポータルサイトが検出され、そのまま資料が閲覧できる状態
になっていたことが分かりました。
県が事務局に照会後、同日中にポータルサイトは閉鎖され、外部からアクセスできない状態に変更されています。現時点で二次被害は確認されていませんが、今後も確認を続けるとしています。
外部から閲覧可能だった情報の内容
外部から閲覧できたのは、事務局が業務用にポータルサイトへ格納していた16種類の資料です(今後追加で判明する可能性ありとされています)。主な内容は次のとおりです。
事務局シフト表
業務日報
発番号管理表
申請取下げリスト
架電リスト・問い合わせ対応記録・質問リスト など
事業者名、担当者氏名(姓のみの場合もあり)
電話番号(事業者番号と担当者個人の番号が混在)
問い合わせ内容やその回答
第1期・第2期の申請・支給に関する一覧
申請書送付依頼リスト
処遇改善加算一覧表
これらの資料を通じて、事業者の担当者の名前や連絡先が一覧形式で閲覧できたことになります。
県は、現時点で確認できた資料以外に漏えいがないかどうか、引き続き調査中だとしています。
原因:アクセス制御を外した「便宜対応」
岩手県の説明によると、今回の漏えいは、技術的な脆弱性というよりも、アクセス制御の設定変更を誤った運用上の問題が直接の原因です。
当初、事務局ポータルサイトは、ID・パスワードによる認証を前提に構築されていました。
しかし、4社からなる事業体の中で、セキュリティレベルやネットワーク環境の差により、幹事社の担当者がポータルにアクセスできない状態が発生しました。
この問題を「手っ取り早く」解消するために、ポータルサイトへのアクセスにID・パスワードを不要とする設定に変更してしまった結果、インターネット上から誰でもアクセス可能な状態になった、という経緯です。
つまり、本来は内部利用者だけが閲覧する前提のサイトでありながら、アクセス制御を外してしまったことで、検索エンジンにクロールされ、一般公開と同じ状態になってしまっていました。
この記事をシェアする
メールマガジン
最新のセキュリティ情報やセキュリティ対策に関する情報をお届けします。
投稿者:三村
セキュリティ対策Labのダークウェブの調査からセキュリティニュース、セキュリティ対策の執筆まで対応しています。
セキュリティ製品を販売する上場企業でSOC(セキュリティオペレーションセンター)やWebサイトやアプリの脆弱性診断 営業8年、その後一念発起しシステムエンジニアに転職。MDMや人事系のSaaS開発を行う。