「お問い合わせフォーム」情報が特定URLを介して外部から閲覧可能に

メンタル管理サービス等を提供する東証一部上場企業の株式会社アドバンテッジリスクマネジメントは2月10日、同社が東京海上日動メディカルサービス株式会社、ネオス株式会社と共同提供する「アドバンテッジEAP」にて、「お問い合わせフォーム」情報のログデータが外部から閲覧可能な状態であったことが判明したと発表した。

これは2018年4月10日に実施した「アドバンテッジEAP」の「お問い合わせフォーム」リリース作業時に、動作確認等のために設定したログの出力先を、作業担当者の設定ミスで外部から閲覧できる場所に指定したことが原因で、ネオス社が管理するサーバ内に保管されている「お問い合わせフォーム」のログデータが、特定のURLを介して外部から参照できる状態であったことが判明したというもの。2021年1月26日に、本サービスのシステム管理を担当しているネオス社でのシステム保守作業で発覚した。

当該情報が閲覧可能となっていた期間は、2018年4月10日から2021年1月26日午前11時15分までで、
利用者の所属企業名、所属企業における社員番号、利用者氏名、利用者の生年月日、問い合わせ時のメールアドレス、電話番号（入力を行った利用者のみ)、問い合わせ種別、問い合わせ内容を含む14,384件、問い合わせ人数12,019名の情報が外部から参照できる状態であった。同社では当該情報について、ランダムに抽出しインターネット検索を実施しているが、現時点で当該情報がインターネットで不正に公開されている状況は確認されていないという。

なお、対象となるデータについて、同日中に外部から閲覧ができない場所へ退避している。

同社では今後、再発防止に向けてより一層の情報管理体制の強化・徹底に努めるとのこと。