IHI運搬機械でサービス開発時に使用したアクセスキーが漏洩、個人情報流出の可能性-日経クロステック
◇◇◇絆ワークプロジェクトでは、社員の引き抜きやデータ不正持ち出しなど、企業の不正に関する事例について取り上げ、皆様へ情報共有を行っております。
IHI運搬機械でサービス開発時に使用したアクセスキーが漏洩、個人情報流出の可能性
この事例の3つのポイント
①賃貸不動産の内覧サービスで登録情報が流出した可能性
②内覧を申し込んだ人の個人情報が漏えい
③不動産管理会社や仲介事業者の担当者の個人情報や宅地建物取引業者免許証の写しまで漏えいか
パーキングシステムや運搬システムを手掛けるIHI運搬機械は2024年9月13日、システム開発のスマサポと共同で提供していた賃貸不動産の内覧サービス「スマサポ内覧サービス」で登録情報が流出した可能性があると発表したことを日経クロステックが伝えています。
スマサポ内覧サービスは賃貸不動産の内覧申請や施錠操作などに使う、不動産管理会社や不動産仲介業者向けのサービス。当初IHI運搬機械とスマサポが共同で提供していたが、スマサポの発表によると、IHI運搬機械とスマサポとの契約は2021年3月に解消され、発表時点で両社の取引関係はないとしている。
IHI運搬機械は2024年7月18日、スマサポ内覧サービスで使用していたサーバーについて、公開状態であること、開発時に使用していたクラウドサービスのアクセスキーが有効のまま残っていたこと、両社以外の部外者がアクセスした痕跡があったことを確認した。アクセスキーを悪用されたとみている。
同社は、サーバーのアクセスログを確認できない期間があったため、サービスからの情報流出を否定できないとした。流出した可能性がある情報は以下の通り。不動産管理会社や仲介事業者の担当者の氏名、電話番号、メールアドレス、宅地建物取引業者免許証の写し。内覧を申し込んだ人の氏名、電話番号、メールアドレス。物件の住所。
今後は、アクセスキーの管理徹底、不正アクセスとマルウエア感染の常時監視、さらなるセキュリティー強化などを行うとしています。
