2025年6月16日 コスモ石油マーケティング株式会社は、同社が提供する「コミっと車検」サービスにおいて利用しているクラウド環境で、一部ファイルの閲覧制限設定に不備があり、外部からのアクセスが可能な状態となっていたことを発表しました。
クラウド誤設定の概要
2025年5月30日、クラウド環境の設定確認を行っていた際、設定ミスにより2019年8月1日から2025年5月30日までの間に保存されていた一部のファイルが外部からアクセス可能であったことが判明しました。
なお、2023年1月27日以降のアクセスログには外部からのアクセスは確認されておらず、現在は設定も修正済みで、外部からのアクセスは不可能な状態にあります。
流出の可能性がある情報
対象期間内に「コミっと車検」を利用した顧客に関する情報が含まれており、最大で以下の情報が該当します
- お客様識別番号:約16万5千件
- 電話番号:約17万6千件
- 氏名:約3万5千件
- 車両情報(車種、車台番号、登録ナンバー、車検満了日、初度登録年月など):約11万9千件
- 整備担当者の氏名:約3千件
クレジットカード情報は含まれていません。また、情報にアクセスするには特定のURLを直接入力する必要があり、容易に推測できる構造ではなかったとしています。
原因と対策
今回の設定ミスの背景には、社内におけるクラウド環境の管理体制が十分に整備されていなかったことが挙げられます。特に、クラウドサービスの設定内容が適切に確認・管理されておらず、閲覧制限の確認漏れが生じたことが原因と見られています。
対策としてはクラウドサービス導入時にセキュリティチェックリストを用いた初期設定の確認を徹底し、設定内容が適切かを第三者の目でもレビューする体制の確立。また、社内での権限管理を厳格化し、必要最小限のアクセス権限に絞るIAM(アイデンティティ・アクセス管理)を実践します。
加えて、アクセスログの取得と定期的な監査により、異常なアクセスがないかを継続的に監視できる仕組みを整えます。
参照
https://www.cosmo-energy.co.jp/ja/information/topics/2025/250616-01.html
関連記事
ゼロトラストとは?概念や今までのセキュリティとの違いを解説
NISTが新たに「ゼロトラスト」アーキテクチャ構築の具体例を公開
4chanのソースコードが流出か-ハッカーが攻撃を主張、管理者情報も漏洩の可能性
ECサイト「IKETEI ONLINE」へ不正アクセス、個人情報 9万件とカード情報3万件超が漏洩の可能性
セキュリティインシデント 事例【2024年】
JAXAへのサイバー攻撃をまとめて解説
ライオン株式会社の海外子会社で不正アクセス発生、個人情報漏洩の可能性
Oracleの不正アクセスによる個人情報漏洩 疑惑が訴訟に発展
住友林業クレスト、サポート詐欺による不正アクセスで個人情報が漏えいの可能性
