出典: Cybersecurity JP – https://cybersecurity-jp.com/news/112500
金原出版株式会社のシステム開発時の一時ファイルが原因で個人情報が外部からアクセス可能に
2026年3月3日、金原出版株式会社は同社の「臨床検査技師国家試験問題注解オンライン」(臨検国試オンライン)において、一部利用者の個人情報が第三者からアクセス可能な状態にあったことを発表しました。原因はシステム開発時に作成された一時ファイルの管理不備によるものでした。
主要なポイント
- 発覚の経緯と原因:2026年2月17日に問題が発覚。システム開発時に作成されたテスト用の一時ファイルが本番環境に誤ってアップロードされ、設定不備により外部からアクセス可能となっていた。
- 漏えい対象の範囲:2024年5月31日刊行の書籍「臨床検査技師国家試験問題注解 2025年版」を購入し、付録のシリアルコードで2024年7月31日までに登録した利用者のメールアドレスとニックネームが対象。
- 漏えいした情報の内容:メールアドレスとニックネームのみで、住所、電話番号、所属先、パスワード、クレジットカード情報などの重要な個人情報は含まれていない。
- 第三者のアクセス痕跡:2024年7月31日から2026年2月17日の間に7件の不正アクセス痕跡が確認されたが、不正利用の事実は現時点で確認されていない。
- 対応と今後の方針:問題発覚後、速やかに該当ファイルを削除し、調査と再発防止策の検討を進めている。
技術的な詳細や背景情報
システム開発時にはテスト環境で動作確認を行うために一時ファイルが作成されることがあります。これらのファイルは本番環境には不要であり、通常は削除されるべきものです。しかし、今回のケースでは一時ファイルが誤って本番環境にアップロードされ、さらに適切なアクセス制御が設定されていなかったため、外部からアクセス可能な状態となりました。
このような問題は「環境分離の不備」や「アクセス権限設定ミス」として知られ、セキュリティ上の重大なリスクを生みます。特に個人情報を扱うシステムでは、開発・テスト環境と本番環境の管理を厳格に分けることが重要です。
影響や重要性
今回の情報漏えいはメールアドレスとニックネームに限定されているため、直接的な被害は限定的と考えられます。しかし、メールアドレスの漏えいはスパムメールやフィッシング詐欺のリスクを高めるため、利用者にとっては無視できない問題です。また、企業側にとっては信頼低下や法的責任のリスクが伴います。
さらに、開発プロセスにおける管理ミスが原因であるため、同様の問題が他のシステムでも起こりうることを示しています。情報セキュリティの観点からは、開発から運用までの一連のプロセスにおいて厳格な管理と監査が求められます。
まとめ
金原出版株式会社の「臨検国試オンライン」システムで発生した個人情報の外部アクセス問題は、システム開発時の一時ファイル管理不備が原因でした。漏えいした情報は限定的であり、現時点で不正利用は確認されていませんが、開発環境と本番環境の分離やアクセス制御の重要性を改めて浮き彫りにしました。今後は再発防止策を徹底し、利用者の信頼回復に努めることが求められます。
