パスワードを忘れた? アカウント作成
21534865 story
情報漏洩

IT導入補助金事務局のHPに不正アクセス。3.8万人の個人情報が漏えいの恐れ 15

ストーリー by nagazou
不正アクセス 部門より

IT導入補助金の事務局のウェブサイトが不正アクセスを受け、IT導入支援事業者約3.8万人の個人情報が漏えいした恐れがあることが判明した。IT導入補助金は、独立行政法人中小企業基盤整備機構が補助金を提供する事業で、不正アクセスを受けたのはTOPPANが実施する「IT導入補助金2023後期」の事業( IT導入補助金2023(後期事務局)ネットショップ担当者フォーラム)。

不正アクセスは、IT導入補助金2023後期事務局のウェブサイトで2023年8月1日から発生したとされ、漏えいの恐れのある個人情報は3万8269人分に相当する。漏えいした可能性のある情報には、一部個人情報を含む事業者の登録情報で、ITツール登録担当者の氏名とメールアドレス、実施者・販売者の氏名とメールアドレスも漏えいした可能性がある模様。漏えいの原因は、ウェブサイトで使用されているプログラムの設計不備によるものとしている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2023年12月21日 9時48分 (#4583113)

    ちょうど9月にこれやろうと指定ベンダーからの購入しか出来ない不満があったのよね。
    そんで見積もりとってもらったら、相手のベンダーから「補助金で購入すると補助金対応料として一定額を上乗せしないといけないから普通に営業経由で購入した方が値引きも出来るしいいですよ」って言われて使うのをやめた。
    補助金と名の付いた搾取だったわけだが、このベンダーのおかげで弊社の個人情報は守られたので感謝している。

    • by Anonymous Coward

      素人にはキックバック裏金と区別がつかない
      # 補助金コンサルとかでもこういう還流あるのかもなぁ
      ## キックバック言いたいだけです すみません 最近流行ってるみたいなので

    • by Anonymous Coward

      どういう状況? ふつうは『補助金or営業経由の値引き』ではなく『補助金and営業経由の値引き』だよ。
      IT導入補助金に「補助金対応料として一定額を上乗せしないといけない」などといった義務はない。
      支援事業者によっては登録・申請にかかる人件費を手数料として上乗せ徴収している可能性も考えられるけど、それはそれで申請サポートに対する正当な対価だし、普通に考えたら補助金でペイできる金額の範疇。何より事務局が搾取しているわけではない。
      営業経由で購入しようがIT導入補助金の申請は可能だし、わざわざ営業経由にさせる意味が分からない。

      by 某IT導入支援事業者の担当者

      • by Anonymous Coward

        入れたい機器を指定ベンダーが直接扱ってなくて仕入れ転売状態だったとか。
        指定ベンダーが頑張って仕入れ元と交渉するとも思えんし、
        仕入れ元の営業と交渉した方が安くて手厚い状態になるんじゃね。

  • とりあえず、自分たちからなんとかしようね。
    ということか。

    個人情報を収集するような部分だけでも、
    共通のセキュリティ対策ができたものを使えないものか。
    毎回独自仕様で作ってったら、穴もあいてそう。

    • by Anonymous Coward

      共通のセキュリティ対策されたと言ってもよいぐらい広く使われているプロダクトに穴があって業界に激震が走る現象はよく見ますけどね。

  • by Anonymous Coward on 2023年12月21日 7時28分 (#4583072)

    > TOPPANが実施する「IT導入補助金2023後期」の事業

    ソースには「TOPPAN株式会社が2023年8月1日より事務局として運営しております」ってあるけど
    「実施」と「事務局として運営」は違うと思う。即日不正アクセスはアレだけど。

    • by Anonymous Crow (45505) on 2023年12月21日 8時06分 (#4583080)
      とにもかくにも、「トッパされちゃった会社」という事ですかね
      親コメント
      • by Anonymous Coward

        トッパンのギャグだな

    • by Anonymous Coward

      ログが残らない等の検証不可な方法でやられて、サービス開始から漏れてたと想定するしかないだけかもよ。

      • by Anonymous Coward

        お詫び報告では「外部からの操作で閲覧・取得されたことが判明いたしました。」って断言してるけれど、
        状況的には、取得されたかもしれないしされていないかもしれない(取得可能な状況だった)、っぽいね。
        まあ少なくとも外部からの指摘で発覚したことを含めて「閲覧・取得された」なんだろうけど。

  • by Anonymous Coward on 2023年12月21日 12時44分 (#4583237)

    何と、ゆ~鱈良いんでしょうか?

  • by Anonymous Coward on 2023年12月21日 13時15分 (#4583265)

    事業者が法人だから?それとも事業者が管理している先の個人の情報まで登録されていてその個人情報?

    ちょっと何言ってるかわかんないです。リンク先読んでもよくわかりません。日本語含むいろんな理解力が少ないことは自覚していますが、訳が分からないです。IT導入支援事業者の約3.8万事業者ならわかった気になりますが単位が人なので理解できないことがわかりました。

    • by Anonymous Coward

      アニマルフレンドも「登場人物」と言うように、この場合の個人情報とは「個人の情報」の意味ではないのでは。

typodupeerror

長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds

読み込み中...