2021年5月21日、ネットマーケティングは同社が運営するマッチングアプリ「Omiai」の会員情報の一部が不正アクセスにより、流出した可能性が高いと発表しました。ここでは関連する情報をまとめます。
171万件の年齢確認書類画像が流出
- 不正アクセスを受けたのはOmiaiの会員情報を管理するサーバー。意図しない挙動がサーバー上で確認され、その後内部点検から不正アクセスの痕跡を発見。
- 流出した情報は法令で確認が義務づけられた年齢確認書類の画像データ。通信ログ分析から数回にわたり画像データが外部へ流出したと判明。流出した画像データの約6割は運転免許証で、画像データの暗号化も行っていなかった。*1 当初流出の可能性と公表していたが、8月11日の第三報では流出が確認されたことを公表した。
| 流出アカウント件数 | 171万1756件 (会員累計数は20年9月末時点で500万人以上) |
|---|---|
| 対象期間 | 2018年1月31日~2021年4月20日に提出された画像データ |
| 対象審査書類 (画像データの対象) |
・運転免許証 ・健康保険証 ・パスポート ・マイナンバーカード(表面)等 (運転免許証、健康保険証が9割以上を占める) |
- 対象者には既に退会済みの旧会員も含まれる。これは退会後10年間は画像データを保管しておくことが規約で定められているため。
- 保管10年間の根拠として、退会後の会員間トラブルによる損害賠償請求等への備えとして民法上の債券請求が可能な期間が10年となっていることなどを参考にしたと取材に回答している。*2
- 流出の可能性のある情報には利用履歴、利用内容、個別メッセージのやり取り等は含まれていない。
- 年齢確認書類の提出はOmiaiメッセージ機能の利用する際に提出が必要とされている。
- 本来は提出の必要がないマイナンバー1件も含まれている。これはマイナンバーカード裏面の画像データが誤って提出されたことによるもの。
- クレジットカード情報は金融機関に決済業務を外部委託していたことからネットマーケティングは保有していないため影響はない。
正規リクエスト偽装し大量データ取得
- 不正アクセスはネットマーケティング社が契約するクラウド上のサーバーに対して行われた。
- 不正アクセスの手口は主に2つに分けられ、先ず年齢確認書類画像データが保管されたファイルストレージサービスに対してアクセスするための情報を不正に取得。
- 取得した情報を使って画像データを取得するリクエストを大量生成し画像データの取得が行われた。これは正規のデータリクエストを装ったものであり、これが影響して不正アクセスが行われてから8日後の発覚となった。影響調査についても正規のリクエストに混ざっていることから被害全容の調査に時間を要したことも併せて説明している。
発表まで3週間かかった理由
公表までに時間を要した理由について取材を受けている。
- 不正アクセスの影響範囲、大量の個人情報の中身の解析を進めていたところ結果的に3週間以上経ってしまった。
- 言い訳となるが、GW連休直前に把握したこと、リモートワークを進めていたことから結果的に発表まで時間を要してしまった。*3
画像データ流通の怪情報が出回る
- 事案公表直後にTwitter上ではOmiaiの画像データが外部サイトへアップされているとした投稿が複数行われていた。中には400リツイートされている投稿も存在していた。(piyokangoはデータ自体の確認していないため投稿内容が事実かどうか、事案に関連したものかどうかは未確認。)
- ネットマーケティングは8月11日時点で個人情報の不正流用等は確認していないとしている。また6月6日時点で同社が設置した窓口等へ二次被害の発生や当該事案との関連を明確に伺わせる事象等の連絡は受けていないとしている。
事案発生後の対応
同社の発表や報道された当面の対応、再発防止策は次の通り。
- 不正アクセス元IPアドレスの遮断、ネットワーク制限の強化
- 外部セキュリティ専門家、社内システム部の協力作業によるシステムチェックと原因調査
- システムセキュリティ高度化作業とシステム全般監視強化
- システム全般における第三者検証開始、サービス内他情報のアクセス制限強化
- 緊急対策委員会の設置、会員情報不正使用による二次被害防止への対処方法、会員個別連絡、注意喚起施策検討開始
- 総務省、警視庁赤坂署へ不正アクセスの被害相談*4
8月11日に公表された再発防止策は次の通り。
- 外部ネットワークからのアクセスやリクエスト制限の厳格化、アプリケーションの認証設定の見直し
- 保有する年齢確認書類画像データの保管場所の移動と暗号化
- システムや情報へのアクセス制御と権限の厳格化及びパスワードポリシーの強化
- サーバーへのログイン認証の厳格化と監査証跡の強化
- 社内エンドポイントへの定常的な動態調査基盤の導入
- 社内ネットワーク及びサービスやコーポレートサイト等外部公開しているサービスに関する脆弱性診断実施、診断に基づくネットワーク構成及びアプリケーションの実装の見直しとセキュリティ強化
- eKYCサービス導入(年齢確認審査業務厳格化及び安全性向上目的)
対応状況の公表
会員様情報流出に係る対応状況のお詫びとご報告
これまでの対応状況について公表。
- 相談窓口等で顧客からの問合せ対応を行っているが、発表時点で二次被害の発生や因果関係を伺わせる内容、事象について連絡報告は受けていない。
- セキュリティ対策委員会(仮)を立ち上げ、個人情報管理と情報セキュリティに関するルールの見直しを実施。
【ルール見直しに関する検討事項】
・ 社内における情報管理体制の抜本的変更を検討(責任者、主管部門の組織改革も含む)
・ 個人情報データへのアクセス権限と権者の見直し(従来よりも更に極小人数へ範囲を絞り込み)
・ 年齢確認書類画像データの保持期間の全面的な短縮
・ 年齢確認書類画像データの保存方法とセキュリティ対策の見直し(暗号化を含む)
・ 年齢確認書類画像データの社内取り扱いと保管体制の見直し(社外専門業者への権限移管等)
- 一律10年間としている顧客情報の取り扱いに係る再検討(事案対応中のため現時点での即時廃棄は困難との見解)その後、8月11日に保存期間の変更の説明が行われ、プライバシーポリシーの改訂案をユーザーへ通知した上で2021年12月1日以降年齢確認書類画像データは提出後72時間で自動的に削除し、会員情報は退会後90日間の保有を行う。
- 問合せ対応の遅延に対して、増員や受付システムの改修、FAQ公開など改善策
- 不正アクセス対象となった171万件の情報は二次被害発生時の事実確認やネットマーケティング社対応の必要性から現時点での即時削除は行わない。保管の必要性がないと判断できた時点で削除する。なお、対象のデータは全て暗号化の上、Omiaiサービスとは異なるインターネットには接続していないサーバー上で保管しているとした。
その他関連する情報
TRUSTeマーク認証の継続検討
- 日本プライバシー認証機構は同機構が行っている「TRUSTeマーク認証」について、ネットマーケティングも取得していたことから経緯、再発防止等の聴取を行い認証継続に関する検討を行うと発表。
- 27日にネットマーケティングより経緯、再発防止策などの報告を受領。この報告に基づき、改善措置を勧告。
- 7月1日にはJPACによる契約解除規定に抵触したとして、ネットマーケティングと締結していた全てのTRUSTeライセンスの契約解除を行ったことを公表した。
問合せフォーム不具合で閲覧可能な状態
- 5月23日に問合せフォーム内の個人情報が閲覧できる不具合があったと公表。22日に問い合わせフォームを利用した顧客からの連絡を受け発覚。
- 不具合が確認されたのはコーポレートサイトに設置されたものでOmiaiの問い合わせフォームとは別。
- Omiaiの不正アクセス事案が原因ではなく、ネットマーケティング内部のシステム不具合によるもの。
- 原因はサーバー増強のために行ったプラットフォーム移行に伴うシステム設定の不備。投稿のキャッシュが残ってしまう場合があり、過去の記載された内容が表示される不具合があった。
- 対象は5月19日11時から5月22日15時までで、当該期間中に問合せフォームを利用した37名。
関連タイムライン
| 発生日時 | 出来事 |
|---|---|
| 2021年4月20日~4月26日 | Omiaiの会員情報管理サーバーに対して複数の不正アクセス。 |
| 2021年4月28日15時頃 | ネットマーケティングがサーバーの意図しない挙動を確認。 |
| 2021年5月21日 | ネットマーケティングが不正アクセス被害を公表。 |
| 2021年6月6日 | ネットマーケティングが不正アクセス対応状況について公表。 |
| 2021年7月5日 | JPACがネットマーケティングとのTRUSTeライセンス契約を解除したことを公表。 |
| 2021年8月11日 | ネットマーケティングが調査結果と今後の対応について公表。 |
ネットマーケティングの公表情報
- 2021年5月21日 不正アクセスによる会員様情報流出に関するお詫びとお知らせ
- 2021年6月6日 会員様情報流出に係る対応状況のお詫びとご報告
- 2021年8月11日 不正アクセスによる会員様情報流出の調査結果と今後の対応について
更新履歴
- 2021年5月24日 AM 新規作成
- 2021年5月28日 PM 続報反映(日本プライバシー認証機構の是正勧告)
- 2021年6月6日 AM 続報反映(ネットマーケティング社の続報反映)
- 2021年8月13日 AM 続報反映(ネットマーケティング社の第三報反映)
*1:婚活アプリの個人情報が流出か 免許証など171万件,朝日新聞,2021年5月21日
*2:マッチングアプリ各社、退会者の個人情報いつまで保存?,朝日新聞,2021年6月8日
*3:マッチングアプリ「Omiai」で情報漏洩か 免許証や保険証など171万人分のデータが流出の疑い,BuzzFeed News,2021年5月21日
*4:婚活アプリ171万人流出 「Omiai」不正アクセス,産経新聞,2021年5月21日
