1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. 株式会社ヤマナカ、やまるんクイズキャンペーンの障害で個人情報漏洩の可能性

株式会社ヤマナカ、やまるんクイズキャンペーンの障害で個人情報漏洩の可能性

セキュリティニュース

投稿日時: 更新日時:

株式会社ヤマナカ、やまるんクイズキャンペーンの障害で個人情報漏洩の可能性

2025年3月29日、株式会社ヤマナカは、同社が実施した「やまるんクイズキャンペーン」の応募サイトにおいて、一部のお客様が入力画面で他の応募者の個人情報が表示される事象が発生したことを公表しました。

発生した事象の概要

  • 発生日時:2025年3月29日(土)10:00〜14:49

  • 発生媒体:「やまるんクイズキャンペーン」応募サイト

  • 現象:情報入力時、直前に登録された他人の個人情報が画面上に表示される

  • 対象件数:最大12名分の個人情報が表示された可能性

個人情報漏洩の原因

キャンペーンフォームを作成した株式会社中広の設定ミスによる、大量アクセスに対応するためのシステムの誤設定

リリースには詳細が記載されていませんがWebアプリケーションのキャッシュ処理に関する設定不備の可能性があります。

Webサーバやアプリケーションの設定において、

  • ユーザーごとのセッションデータが他者に表示されないよう明確に制御

  • Reverse ProxyやWebサーバでのキャッシュ設定(Varyヘッダー、Cookie連携等)の精査 が必要です。

特に応募や問い合わせフォームなど、個人情報を扱うページにはキャッシュ禁止の明示(no-cache, no-store)を徹底する必要があります。

関連記事

シャープ公式オンラインストア「COCORO STORE」と「ヘルシオデリ」で不正アクセス 最大約7.5万人の個人情報漏洩の可能性シャープ公式オンラインストア「COCORO STORE」と「ヘルシオデリ」で不正アクセス 最大約10万人の個人情報漏洩の可能性 シャープが「COCORO STORE」と「ヘルシオデリ」の不正アクセスについての調査報告書を発表シャープが「COCORO STORE」と「ヘルシオデリ」の不正アクセスについての調査報告書を発表 WordPress用プラグイン「Forminator」で複数の脆弱性が発生WordPress用プラグイン「LiteSpeed Cache」で重大な脆弱性が発生(CVE-2023-40000) 個人情報漏洩の事例|最新の内容も踏まえて解説個人情報漏洩の事例 Litespeed CacheでWordPressの乗っ取り攻撃に悪用される脆弱性(CVE-2024-28000)Litespeed CacheでWordPressの乗っ取り攻撃に悪用される脆弱性(CVE-2024-28000) WordPressの人気プラグイン「LiteSpeed Cache」で危険度の高い脆弱性(CVE-2024-50550)WordPressの人気プラグイン「LiteSpeed Cache」で危険度の高い脆弱性(CVE-2024-50550) WordPressの人気プラグイン LiteSpeed Cacheで危険度の高い脆弱性(CVE-2024-4400)WordPressの人気プラグイン LiteSpeed Cacheで危険度の高い脆弱性(CVE-2024-4400) 6000以上のワードプレスがサイバー攻撃とハッキング被害6000以上のワードプレスがサイバー攻撃とハッキングの被害 シャープ公式通販の COCORO STORE(ココロストア)へ不正アクセスが発生 サイトを一時的に閉鎖シャープ公式通販の COCORO STORE(ココロストア)へ不正アクセスが発生 サイトを一時的に閉鎖