オリジン弁当で個人情報漏洩
2024年7月16日(火)にオリジン弁当の運営会社で利用者の個人情報漏洩が最大31件発生した可能性があるというニュースが流れました。
個人情報漏洩発覚後はオリジン弁当のお問い合わせフォームは緊急メンテナンスとなり、現在はお問い合わせフォームのページにアクセスできないようになっています。
お問い合わせ | オリジン東秀株式会社
この一報を聞いた際に私は「また企業がGoogleフォームの共有設定を間違えて個人情報が漏洩したのか」と思いましたが、オリジン弁当のお問い合わせフォームはGoogleフォームではありませんでした。
※ 下図はメンテナンス前のお問い合わせフォーム
オリジン弁当で個人情報漏洩した原因
オリジン弁当のお問い合わせフォームで個人情報漏洩した原因は、現在は調査中のため発表されていません。
しかし、WebサイトがSSL非対応のURLでもアクセス可能となっているため、SSLの不備によって情報漏洩した可能性があります。
SSLはインターネット上で送受信されるデータを暗号化するためのセキュリティ技術です。
SSL対応のWebサイトはURLが「https://」で始まります。
SSLは通信するデバイス間でデータが送信される途中で傍受されるのを防ぐために使われます。
オリジン弁当のWebサイトはSSL非対応のURLでもアクセス可能となっており、Safariなどのブラウザでは以下のようにSSL非対応の先頭が「http://」のURLでもアクセスできます。
※ Chromeだと「https://」のURLにリダイレクトされます。
http://www.toshu.co.jp/contact/
これにより、ユーザーがSSL非対応のお問い合わせフォームを利用したため、個人情報が漏洩した可能性があります。
本来であれば、セキュリティの安全性を考えて、お問い合わせフォームのページだけでなく、Webサイト全体で「http://」のURLにアクセスされた場合、「https://」にリダイレクトされるように修正されるまで、Webサイトにアクセスできないように全体をメンテナンス状態にするのが望ましいです。
しかし、残念ながらWebサイトの担当者はそのあたりのことを理解していないようです。
