piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

マッチングアプリ「Omiai」会員情報管理サーバーへの不正アクセスについてまとめてみた

2021年5月21日、ネットマーケティングは同社が運営するマッチングアプリ「Omiai」の会員情報の一部が不正アクセスにより、流出した可能性が高いと発表しました。ここでは関連する情報をまとめます。

171万件の年齢確認書類画像が流出か

www.net-marketing.co.jp

  • 不正アクセスを受けたのはOmiaiの会員情報を管理するサーバー。意図しない挙動がサーバー上で確認され、その後内部点検から不正アクセスの痕跡を発見。
  • 流出の可能性が高いとされるのは法令で確認が義務づけられた年齢確認書類の画像データ。通信ログ分析から数回にわたり画像データが外部へ流出した可能性が高いと判明。流出の可能性がある画像データの約6割は運転免許証で、画像データの暗号化も行っていなかった。*1
流出可能性アカウント件数 171万1756件
(会員累計数は20年9月末時点で500万人以上)
対象期間 2018年1月31日~2021年4月20日に提出された画像データ
対象審査書類
(画像データの対象)
・運転免許証
・健康保険証
・パスポート
・マイナンバーカード(表面)等
  • 対象者には既に退会済みの旧会員も含まれる。これは退会後10年間は画像データを保管しておくことが規約で定められているため。
  • 保管10年間の根拠として、退会後の会員間トラブルによる損害賠償請求等への備えとして民法上の債券請求が可能な期間が10年となっていることなどを参考にしたと取材に回答している。*2
  • 流出の可能性のある情報には利用履歴、利用内容、個別メッセージのやり取り等は含まれていない。
  • 年齢確認書類の提出はOmiaiメッセージ機能の利用する際に提出が必要とされている。
  • 本来は提出の必要がないマイナンバー1件も含まれている。これはマイナンバーカード裏面の画像データが誤って提出されたことによるもの。
  • クレジットカード情報は金融機関に決済業務を外部委託していたことからネットマーケティングは保有していないため影響はない。
発表まで3週間かかった理由

公表までに時間を要した理由について取材を受けている。

  • 不正アクセスの影響範囲、大量の個人情報の中身の解析を進めていたところ結果的に3週間以上経ってしまった。
  • 言い訳となるが、GW連休直前に把握したこと、リモートワークを進めていたことから結果的に発表まで時間を要してしまった。*3
画像データが公開されている?
  • 詳細不明だが、Twitter上ではOmiaiの画像データが外部サイトへアップされているとの投稿が複数行われている。中には400リツイートされている投稿も存在。(piyokangoはデータ自体の確認していないため投稿内容が事実かどうか、事案に関連したものかどうかは未確認。)
  • ネットマーケティングは5月21日時点で個人情報の不正流用等は確認していないとしている。また6月6日時点で同社が設置した窓口等へ二次被害の発生や当該事案との関連を明確に伺わせる事象等の連絡は受けていないとしている。
事案発生後の対応

同社の発表や報道された当面の対応、再発防止策は次の通り。

  • 不正アクセス元IPアドレスの遮断、ネットワーク制限の強化
  • 外部セキュリティ専門家、社内システム部の協力作業によるシステムチェックと原因調査
  • システムセキュリティ高度化作業とシステム全般監視強化
  • システム全般における第三者検証開始、サービス内他情報のアクセス制限強化
  • 緊急対策委員会の設置、会員情報不正使用による二次被害防止への対処方法、会員個別連絡、注意喚起施策検討開始
  • 総務省、警視庁赤坂署へ不正アクセスの被害相談*4
対応状況の公表

会員様情報流出に係る対応状況のお詫びとご報告
これまでの対応状況について公表。

  • 相談窓口等で顧客からの問合せ対応を行っているが、発表時点で二次被害の発生や因果関係を伺わせる内容、事象について連絡報告は受けていない。
  • セキュリティ対策委員会(仮)を立ち上げ、個人情報管理と情報セキュリティに関するルールの見直しを実施。

【ルール見直しに関する検討事項】
・ 社内における情報管理体制の抜本的変更を検討(責任者、主管部門の組織改革も含む)
・ 個人情報データへのアクセス権限と権者の見直し(従来よりも更に極小人数へ範囲を絞り込み)
・ 年齢確認書類画像データの保持期間の全面的な短縮
・ 年齢確認書類画像データの保存方法とセキュリティ対策の見直し(暗号化を含む)
・ 年齢確認書類画像データの社内取り扱いと保管体制の見直し(社外専門業者への権限移管等)

  • 一律10年間としている顧客情報の取り扱いに係る再検討(事案対応中のため現時点での即時廃棄は困難との見解)
  • 問合せ対応の遅延に対して、増員や受付システムの改修、FAQ公開など改善策

その他関連する情報

TRUSTeマーク認証の継続検討
問合せフォーム不具合で閲覧可能な状態

www.net-marketing.co.jp

  • 5月23日に問合せフォーム内の個人情報が閲覧できる不具合があったと公表。22日に問い合わせフォームを利用した顧客からの連絡を受け発覚。
  • 不具合が確認されたのはコーポレートサイトに設置されたものでOmiaiの問い合わせフォームとは別。
  • Omiaiの不正アクセス事案が原因ではなく、ネットマーケティング内部のシステム不具合によるもの。
  • 原因はサーバー増強のために行ったプラットフォーム移行に伴うシステム設定の不備。投稿のキャッシュが残ってしまう場合があり、過去の記載された内容が表示される不具合があった。
  • 対象は5月19日11時から5月22日15時までで、当該期間中に問合せフォームを利用した37名。

関連タイムライン

発生日時 出来事
2021年4月20日~4月26日 Omiaiの会員情報管理サーバーに対して複数の不正アクセス。
2021年4月28日15時頃 ネットマーケティングがサーバーの意図しない挙動を確認。
2021年5月21日 ネットマーケティングが不正アクセス被害を公表。
2021年6月6日 ネットマーケティングが不正アクセス対応状況について公表。

更新履歴

  • 2021年5月24日 AM 新規作成
  • 2021年5月28日 PM 続報反映(日本プライバシー認証機構の是正勧告)
  • 2021年6月6日 AM 続報反映(ネットマーケティング社の続報反映)