ニュース 2020.08.22 大東建託、顧客が別顧客の情報にアクセス可能な状態に

閲覧可能になっていた情報は331件の個人情報を含むファイルで、687人分の氏名や住所などが含まれていた。同ファイルは2012年6月18日〜2020年7月20日までの間に大東建託及び大東建託リーシング、大東建託パートナーズと取引した顧客に向けたもの。

大東建託とそのグループ会社2社ではデータ共有機能を利用し、契約や物件の資料を顧客に送付していた。

この「データ共有機能」とは同社のサーバ上にファイルをアップロードし、そのURLを伝えることにより顧客とファイルを共有する機能。URLが連番形式の推測可能なものとなっていたことが原因で、URLを入手した顧客が一部URLの数値を変えるだけで別の顧客のデータにアクセス可能だったという。

本件は7月20日に賃貸物件を探していた顧客によって、他の顧客の情報を閲覧できるとの指摘があり発覚したとのこと。発表時点で顧客情報の不正利用や二次被害の発生は確認されていないという。

同社ではデータ共有機能を完全に停止し、セキュリティを確保したメール送受信のソフトウェアでのデータ送信に変更するとともに、同社グループ社員に対する社内研修や毎週行われているコンプライアンスのテストで個人情報の取り扱いに関する内容を強化することで再発防止の徹底に努めるとしている。

【関連リンク】

・お客様情報流出に関するお詫びとお知らせ（大東建託株式会社）
https://www.kentaku.co.jp/corporate/pr/info/2020/aqehc4000000r6ip-att/jouhou_osirase_0731.pdf

TEXT：セキュリティ通信 編集部
PHOTO：iStock