IT導入補助金事務局のHPに不正アクセス。3.8万人の個人情報が漏えいの恐れ 15
ストーリー by nagazou
不正アクセス 部門より
不正アクセス 部門より
IT導入補助金の事務局のウェブサイトが不正アクセスを受け、IT導入支援事業者約3.8万人の個人情報が漏えいした恐れがあることが判明した。IT導入補助金は、独立行政法人中小企業基盤整備機構が補助金を提供する事業で、不正アクセスを受けたのはTOPPANが実施する「IT導入補助金2023後期」の事業( IT導入補助金2023(後期事務局)、ネットショップ担当者フォーラム)。
不正アクセスは、IT導入補助金2023後期事務局のウェブサイトで2023年8月1日から発生したとされ、漏えいの恐れのある個人情報は3万8269人分に相当する。漏えいした可能性のある情報には、一部個人情報を含む事業者の登録情報で、ITツール登録担当者の氏名とメールアドレス、実施者・販売者の氏名とメールアドレスも漏えいした可能性がある模様。漏えいの原因は、ウェブサイトで使用されているプログラムの設計不備によるものとしている。
不正アクセスは残念だけど (スコア:3, 興味深い)
ちょうど9月にこれやろうと指定ベンダーからの購入しか出来ない不満があったのよね。
そんで見積もりとってもらったら、相手のベンダーから「補助金で購入すると補助金対応料として一定額を上乗せしないといけないから普通に営業経由で購入した方が値引きも出来るしいいですよ」って言われて使うのをやめた。
補助金と名の付いた搾取だったわけだが、このベンダーのおかげで弊社の個人情報は守られたので感謝している。
Re: (スコア:0)
素人にはキックバック裏金と区別がつかない
# 補助金コンサルとかでもこういう還流あるのかもなぁ
## キックバック言いたいだけです すみません 最近流行ってるみたいなので
Re: (スコア:0)
どういう状況? ふつうは『補助金or営業経由の値引き』ではなく『補助金and営業経由の値引き』だよ。
IT導入補助金に「補助金対応料として一定額を上乗せしないといけない」などといった義務はない。
支援事業者によっては登録・申請にかかる人件費を手数料として上乗せ徴収している可能性も考えられるけど、それはそれで申請サポートに対する正当な対価だし、普通に考えたら補助金でペイできる金額の範疇。何より事務局が搾取しているわけではない。
営業経由で購入しようがIT導入補助金の申請は可能だし、わざわざ営業経由にさせる意味が分からない。
by 某IT導入支援事業者の担当者
Re: (スコア:0)
入れたい機器を指定ベンダーが直接扱ってなくて仕入れ転売状態だったとか。
指定ベンダーが頑張って仕入れ元と交渉するとも思えんし、
仕入れ元の営業と交渉した方が安くて手厚い状態になるんじゃね。
セキュリティ対策推進枠... (スコア:2)
とりあえず、自分たちからなんとかしようね。
ということか。
個人情報を収集するような部分だけでも、
共通のセキュリティ対策ができたものを使えないものか。
毎回独自仕様で作ってったら、穴もあいてそう。
Re: (スコア:0)
共通のセキュリティ対策されたと言ってもよいぐらい広く使われているプロダクトに穴があって業界に激震が走る現象はよく見ますけどね。
事業を実施 (スコア:0)
> TOPPANが実施する「IT導入補助金2023後期」の事業
ソースには「TOPPAN株式会社が2023年8月1日より事務局として運営しております」ってあるけど
「実施」と「事務局として運営」は違うと思う。即日不正アクセスはアレだけど。
Re:事業を実施 (スコア:2)
Re: (スコア:0)
トッパンのギャグだな
Re: (スコア:0)
ログが残らない等の検証不可な方法でやられて、サービス開始から漏れてたと想定するしかないだけかもよ。
Re: (スコア:0)
お詫び報告では「外部からの操作で閲覧・取得されたことが判明いたしました。」って断言してるけれど、
状況的には、取得されたかもしれないしされていないかもしれない(取得可能な状況だった)、っぽいね。
まあ少なくとも外部からの指摘で発覚したことを含めて「閲覧・取得された」なんだろうけど。
此の紺屋の白袴、感! (スコア:0)
何と、ゆ~鱈良いんでしょうか?
個人情報? (スコア:0)
事業者が法人だから?それとも事業者が管理している先の個人の情報まで登録されていてその個人情報?
ちょっと何言ってるかわかんないです。リンク先読んでもよくわかりません。日本語含むいろんな理解力が少ないことは自覚していますが、訳が分からないです。IT導入支援事業者の約3.8万事業者ならわかった気になりますが単位が人なので理解できないことがわかりました。
Re: (スコア:0)
アニマルフレンドも「登場人物」と言うように、この場合の個人情報とは「個人の情報」の意味ではないのでは。