「コミっと車検」で16万件超の情報に閲覧可能性　クラウド設定ミスによるアクセス制限不備が発覚

コスモ石油が提供する自動車整備サービス「コミっと車検」のクラウド環境において、一部ファイルに閲覧制限の設定ミスがあり、外部からアクセス可能な状態であったことが判明しました。顧客識別番号・電話番号・車両情報など、最大で16万件超の情報が対象となる可能性があり、企業のクラウド運用体制に改めて注目が集まっています。

事案の概要：クラウド設定ミスによる閲覧制限不備

2025年5月30日、クラウド環境の定期設定確認作業中に、一部ファイルの閲覧制限が適切に設定されていなかったことが発覚しました。該当ファイルは、外部から第三者が直接アクセスできる状態で保存されていたものの、URLの完全入力が必要な構造だったため、容易に発見されるものではなかったとされています。

外部からアクセス可能だった情報の内容

今回の設定ミスによって、2019年8月1日から2025年5月30日までの間に「コミっと車検」を利用した一部の顧客および整備士の情報が対象となる可能性があります。

• お客様識別番号：約16万5千件

• 電話番号：約17万6千件

• 氏名：約3万5千件

• 車両情報：約11万9千件（車台番号、車検満了日などを含む）

• 担当整備士氏名：約3千件

※なお、クレジットカード情報は一切含まれていないとのことです。

外部アクセスの有無と現在の状況

• 2023年1月27日以降のアクセス履歴においては、外部からのアクセスは確認されていません。

• それ以前のアクセス履歴は取得しておらず、外部アクセスの有無を完全に否定することはできないとされています。

• 現在は設定を修正済みであり、外部からのアクセスは完全に遮断されています。

  
  

原因と再発防止策

今回のインシデントの主な原因は、クラウド環境の設定ミスと社内ルールの運用不備にあります。企業としては以下のような対策を表明しています。

短期的対策

• 閲覧制限の再設定と全クラウド環境の緊急点検

• 該当顧客への通知（コスモ公式アプリ経由）

  
  

恒久的対策

• 社内のデータ取り扱いルールの再教育と徹底

• アクセス制限状況を継続的にチェックする仕組みの構築

• クラウド環境の管理体制強化

  
  

  まとめ

  今回のインシデントは、技術的な侵害ではなく設定ミスによる「人的セキュリティリスク」によって発生しました。特にクラウド環境では、利便性と引き換えに設定ミスが致命的な情報漏洩リスクを招くことがあるため、管理体制の整備と運用フローの継続的な見直しが必須です。

  コスモ石油では、既に再発防止策の強化を進めていますが、類似の事案は他社でも起こり得るため、企業全体としてのクラウドセキュリティの再評価が求められます。

  
  

  セキュリティ対策に不安がある方はお気軽にご相談ください。御社に必要な対策を無料で提案させて頂きます。

  

  
  

• セキュリティテストならシースリーレーヴ 

  

  ペネトレーションテストの会社をお探しの方は、ぜひシースリーレーヴ株式会社までお問い合わせください。

  
  

  

  
  

  弊社では、海外で活躍するホワイトハッカー集団「Nulit・ナルト」によるペネトレーションテストを60万円〜の低価格で提供可能です。

  
  

  さらに毎月定期的に侵入テストを実施したり、ホワイトハッカーのロゴをサイトに掲載したりすることで、サイバー攻撃の予防を高めることができます。

  
  

  また自社でのセキュリティ対策が難しい場合は、ホワイトハッカーおよびエンジニアが開発を行うことも可能です。

  
  

  これまでに大手企業様や、上場企業様など、数多くのペネトレーションテスト実績を持っております。

  導入実績と弊社がペネトレーションテストで選ばれる理由はこちら 

  セキュリティ面に関するお悩みをお持ちの方は、まずはぜひ一度ご相談ください。