日本ネットワークセキュリティ協会、フォーム設定ミスで個人情報が閲覧可能状態
| 会社名 | 特定非営利活動法人日本ネットワークセキュリティ協会(JNSA) |
|---|---|
| 株式情報 | 非上場 |
| 漏洩種別 | 流出 |
| 漏洩対象 | Web |
| 漏洩場所 | 社外 |
| 漏洩内容 | 氏名/メールアドレス |
| 漏洩件数 | 26件 |
| 漏洩日時 | 2024/5/31~6/19 |
| 発表日時 | 2024/6/26 |
日本ネットワークセキュリティ協会(JNSA)にて申込サイトから個人情報が閲覧可能状態となり流出。同協会の中で組織されたSECCONにて、SECCON実行委員会主催のSECCON CTF for Girls運営のイベント「SECCON CTF for Girls」の予選会申込にGoogleフォームを利用した際に、設定ミスにより申込サイトにアクセスしたユーザに申込者個人情報が閲覧可能状態となっていたことにより流出した。
外部から指摘があり、流出が発覚。Googleフォームのアクセス範囲・編集権限設定を「リンクを知ってる全員」に設定していたことにより、Googleアカウントにログインした状態で申込者がGoogleフォームに移動すると申込者情報が閲覧可能状態であったことが判明した。
事態発覚後、予約会申込サイトのフォームの権限を変更し、外部から閲覧出来ないことを確認した。
同社は参加者に状況説明とお詫びを行った。なお、Googleフォームから関係者以外からのダウンロードログはなく、現時点では情報の不正利用や被害の報告は確認されていない。
