「コミっと車検」で16万件超の情報に閲覧可能性 クラウド設定ミスによるアクセス制限不備が発覚
2025年6月18日
コスモ石油が提供する自動車整備サービス「コミっと車検」のクラウド環境において、一部ファイルに閲覧制限の設定ミスがあり、外部からアクセス可能な状態であ�ったことが判明しました。顧客識別番号・電話番号・車両情報など、最大で16万件超の情報が対象となる可能性があり、企業のクラウド運用体制に改めて注目が集まっています。
事案の概要:クラウド設定ミスによる閲覧制限不備
2025年5月30日、クラウド環境の定期設定確認作業中に、一部ファイルの閲覧制限が適切に設定されていなかったことが発覚しました。該当ファイルは、外部から第三者が直接アクセスできる状態で保存されていたものの、URLの完全入力が必要な構造だったため、容易に発見されるものではなかったとされています。
外部からアクセス可能だった情報の内容
今回の設定ミスによって、2019年8月1日から2025年5月30日までの間に「コミっと車検」を利用した一部の顧客および整備士の情報が対象となる可能性があります。
お客様識別番号:約16万5千件
電話番号:約17万6千件
氏名:約3万5千件
車両情報:約11万9千件(車台番号、車検満了日などを含む)
担当整備士氏名:約3千件
※なお、クレジットカード情報は一切含まれていないとのことです。
外部アクセスの有無と現在の状況
2023年1月27日以降のアクセス履歴においては、外部からのアクセスは確認されていません。
それ以前のアクセス履歴は取得しておらず、外部アクセスの有無を完全に否定することはできないとされています。
現在は設定を修正済みであり、外部からのアクセスは完全に遮断されています。
原因と再発防止策
今回のインシデントの主な原因は、クラウド環境の設定ミスと社内ルールの運用不備にあります。企業としては以下のような対策を表明しています。
短期的対策
閲覧制限の再設定と全クラウド環境の緊急点検
該当顧客への通知(コスモ公式アプリ経由)
恒久的対策
社内のデータ取り扱いルールの再教育と徹底
アクセス制限状況を継続的にチェックする仕組みの構築
クラウド環境の管理体制強化
まとめ
今回のインシデントは、技術的な侵害ではなく設定ミスによる「人的セキュリティリスク」によって発生しました。特にクラウド環境では、利便性と引き換えに設定ミスが致命的な情報漏洩リスクを招くことがあるため、管理体制の整備と運用フローの継続的な見直しが必須です。
コスモ石油では、既に再発防止策の強化を進めていますが、類似の事案は他社でも起こり得るため、企業全体としてのクラウドセキュリティの再評価が求められます。