コミっと車検申込情報のアクセス権限での設定誤りについて
2025年6月16日
コスモ石油マーケティング株式会社
この度、弊社サービス「コミっと車検」で利用しているクラウド環境に保存されているファイルの一部について、閲覧制限の設定の誤りがあり、外部からのアクセスが可能な状態にあることが判明いたしました。
サービスをご利用頂いているお客様および関係者の皆様にはご心配をお掛けして申し訳ございません。
なお、2023年1月27日以降のアクセス履歴においては外部からのアクセスは確認されておりません。
また、現在は設定を変更し、外部からのアクセスはできない状態となっており、現時点で二次被害の報告は受けておりません。
記
1.経緯
2025年5月30日、クラウド環境の設定確認を行っている中で、閲覧制限の設定の誤りにより、一部ファイルが外部からのアクセスが可能な状態になっていることが判明いたしました。
現在は設定を変更し、外部からのアクセスができない状態となっています。
2.外部からのアクセスが可能となっていた情報について
| 対象期間 | 2019年8月1日~2025年5月30日までの間(※1) |
|---|---|
| 対象となるお客様 | 対象期間にコミっと車検を申し込んだお客様 |
| 対象となるお客様情報(※2) | お客様識別番号:約16万5千件 お客様電話番号:約17万6千件 お客様氏名 :約 3万5千件 車両情報(※3) :約11万9千件 |
| 対象となるスタッフ情報 | 担当整備士氏名:約3千件 |
対象となるファイルに、クレジットカード情報は含まれておりません。
※1:このうち、2023年1月27日~2025年5月30日までの間のアクセス履歴においては、外部からのアクセスは確認されておりません。
上記より前の期間については、アクセス履歴を取得しておらず、外部からのアクセスの有無を確認できておりません。
なお、クラウドサーバーとフォルダにはサービス開始(2019年8月1日)当初からアクセス禁止制限が施されており、閲覧制限の設定の誤りがあった対象ファイルには、第三者による類推が困難な対象ファイルのURLの全文を入力しない限りはアクセスできない状態となっておりました。
※2:対象となるお客様によって、対象となるお客様情報のどの情報が含まれるかは異なります。
※3:車両の情報には、車種、車台番号、車両登録ナンバー、車検満了日および初度登録年月などが含まれます。
3.原因と再発防止策
本件につきましては、社内でのデータ取扱いのルール説明・徹底が不十分だったことなどが主な原因であったと考えております。
従業員への教育を徹底し、再発防止に取り組みます。また、継続的にクラウド環境のアクセス制限設定状況の調査を実施し、設定状況を管理する仕組みを構築いたします。
4.当社対応
・対象のお客様には、コスモ公式アプリを通じてお知らせしております。
・現在は設定を修正済みで、外部からのアクセスはできない状態です。
・対象のクラウド環境の全検査を実施し、外部からのアクセスが可能な状態のファイルが無いことを確認しています。
問い合わせ先:
コスモ石油カスタマーセンター:0120-530-372(24時間対応)
以上