Scan編集部では7月22日、淡路島国際ホテル・アレックスの予約問い合わせのデータと思われるデータが、外部より何らの制限なしに閲覧可能であることを発見し、当該ホテルへと通報した。今回の件では、直接のデータであると思われるデータフォルダおよびその中のデータにはアクセス制限が施されており、閲覧できなかったが、管理者用と思われるCGIが誰でもアクセスできる状態になっており、そのCGIの権限にてデータを閲覧することが可能であった。なお、編集部から通報の後、約4時間後に当該ホテルより修正した旨の連絡を受けた。 今回の件のように、重要なデータにアクセス制限をかけ、そのデータの扱いを簡易にするためにCGIを利用しているというケースは珍しくない。しかし、CGIは通常一般ユーザよりも高い権限を与えられているということに注意しなければならない。そのCGIの利用者の管理が杜撰なため、結局データが漏洩してしまうということもまた、珍しくない。管理用のインターフェースによって、Webや顧客データの管理を行っている方には、今一度管理用インターフェースのセキュリティを見直していただきたい。淡路島国際ホテル・アレックスhttp://www.hotel-arex.co.jp/ (現在は修正済み)
