2025年7月1日、石油製品のサービス展開を行う「コスモ石油マーケティング」社は、同社が提供する車検サービス「コミっと車検」に関連するクラウド環境の設定に不備があり、一部のファイルが外部から閲覧可能な状態になっていたと発表。
同社公表では、事案が判明したのは2025年5月30日のことだった。
社内でクラウド設定の点検を行った際に、閲覧制限の設定に誤りがあったことが発覚。
対象となっていたのは2019年8月1日から2025年5月30日までに保存されていた一部ファイルとされている。
これらファイルは本来、外部からアクセスできないよう制限が施されていたが、設定ミスにより誤って閲覧可能な状態となっていた。
なお、影響を受けた可能性のある情報は以下の通り。
・顧客識別番号:約16万5千件
・電話番号:約17万6千件
・氏名:約3万5千件
・車両情報(車種・車台番号・ナンバー等):約11万9千件
・担当整備士の氏名:約3千件
なお、クレジットカード情報など、決済に関わる機密性の高い情報は含まれていないと報告されている。
原因は、社内でのクラウド設定管理とデータ取り扱いルールの徹底不足とのこと。
公表では、2023年1月27日以降のアクセス履歴を調査した結果、外部からの不正アクセスは確認されていないとされているが、それ以前のアクセス履歴は記録されておらず、実際に第三者が情報を閲覧したかどうかは断定できない状況だという。
ただし、該当ファイルは特定のURLを完全一致で入力しなければ表示できない形式だったため、意図的にファイルの場所を知っていない限り、閲覧される可能性は低いと説明している。
対象となった顧客には、公式スマートフォンアプリを通じて個別に通知を実施。
現在は設定が修正され、外部からのアクセスは遮断され、クラウド環境全体の再点検がなされている。
今後は以下の再発防止策を講じる予定です
・従業員への情報セキュリティ教育の強化
・クラウド環境の定期的なアクセス設定点検の実施
・管理体制の見直しと仕組みの構築
同社は「ご利用いただいている皆様にご心配をおかけしたことを深くお詫び申し上げます」とコメント。
今後の対策に注力し、信頼回復に努める姿勢を示している。
