2023年12月7日、Suishowは、同社が運営する位置情報共有アプリ「NauNau」より一時230万人分以上の位置情報やチャット履歴が閲覧可能となっていたとの報道を受け調査を行った結果を公表しました。ここでは関連する情報をまとめます。
230万人のNauNau利用者の位置情報などが一時閲覧可能と報道
www3.nhk.or.jp
位置情報共有アプリ「NauNau」の問題が広く公になったのはNHKの2023年10月21日報道が発端。NHKの報道では大まかに次の4点が取り上げられていた。
- NauNauはサービス開始の時点からセキュリティの対策が十分ではなかった。そのため閲覧をしようとする者に「一定のITの知識」があれば少なくとも230万人分のアプリ利用者の位置情報、チャット履歴が外部から閲覧可能な状態になっていた。
- NauNauの開発元であるSuishowは、2022年12月以降複数回にわたり1.に関する問題の指摘を受けており、情報が閲覧可能な状態を認識していた。
- この問題に対しSuishowが修正対応を行ったのは2023年3月(チャット履歴)と4月(位置情報)。それまではこれらの情報が閲覧可能な状態が続いていた。対応が遅れた経緯について、NHKが取材した開発関係者は「社内でサービスを一時中止すべきとの声もあったが、利用者数が相当数になっていたことからできなかった」と答えている。
- Suishowは今回の件について、報道前に個人情報保護委員会への報告やアプリ利用者への通知を行っていなかった。
報道受けサービスを停止
- NHKの報道後、Suishowの親会社であるモバイルファクトリーがSuishowとともに同報道を受けた対応を10月23日公表。*1個人情報の流出を含めた報道された内容の事実確認を進めているというもの。
- 問題の指摘を受けたNauNauは第三者機関も含めた調査及び対応が完了し、利用者に安心して利用可能であることが確認できるまでの間、サービスの提供を一時停止し、アクセスを遮断した。(2023年10月21日より停止)
原因はクラウドの設定不備
- Suishowは、第三者機関による調査が完了したとしてその結果を2023年12月7日に公表した。調査で確認ができた範囲では情報流出の事実は確認されなかった。*2 *3 第三者機関として調査にあたったのは、デジタルデータソリューション(個人情報流出の有無に関する調査)とGMOサイバーセキュリティ by イエラエ(NauNau上の情報に外部アクセスする方法についての調査)の2社。
- 外部から閲覧が可能となっていた原因はNauNauが利用していたクラウドサービスで、同社が行ったセキュリティの設定に不備があったためで、位置情報、チャット履歴が格納されたデータベースに対し、そのクラウド上のデータベースのアクセス情報を入手し、複数のリクエストを行えば取得が可能な状況であった。NHKが「一定のITの知識」があれば情報が取得可能と報じていたものについて、調査の結果よりSSL/TLSを利用したNauNauの通信を傍受およびその解析、クラウドサービスのAPIへのリクエストの組み立ての2点の知識が必要と説明した。
- 対象となっていたアプリ利用者の情報について、閲覧が可能となっていた期間が異なっている場合があり、表にすると次の通り。
- アプリ利用者の各情報の対象件数については次の通り。
| アプリ利用者の対象情報 | 対象件数(アプリ利用者数) |
|---|---|
| 現在位置 | 約304万件(推定) |
| チャット内容・画像 | 約167万件(推定) |
| 生年月日 | 約283万件(推定) |
| 個人情報を含まないその他の情報(アプリ起動回数等) | 約380万件(推定) |
| 位置情報履歴 | 16,753件 |
| カップル・家族グループ所属情報 | 53,457件 |
| マッチングアプリ等のインストール状況 | 38,070件 |
- Suishowは再発防止について、専門機関の診断を受けたうえで検討を進めると説明。サービスは12月7日時点で停止中であり、再開時期については今回の公表で触れられていない。
- NHK報道については、先の4項目のうち、1項目のみ今回の公表内容で触れられているもので、他3項について事実であったのか否かも含め事実関係は明らかにされていない。
関連タイムライン
| 日時 | 出来事 |
|---|---|
| 2022年9月 | SuishowがNauNauサービス開始。 |
| 2022年12月以降 | NauNauの問題について複数回にわたって指摘を受けたか。 |
| 2023年3月2日 | チャット内容、画像について閲覧が可能となっていた問題が解消か。 |
| 2023年5月8日 | アプリ利用者の現在位置情報について閲覧が可能となっていた問題が解消か。 |
| 2023年10月20日 | 報道機関からSuishowに対し「NauNau」の問題について指摘。 |
| 2023年10月20日 | Suishowが状況の調査及び第三者機関への相談を開始。 |
| 2023年10月21日 | NHKがNauNauの問題について報道。 |
| 同日 | SuishowがNauNauのサービスを停止、アクセス遮断。 |
| 2023年10月23日 | Suishowが総務省、個人情報保護委員会へ事案について報告。 |
| 同日 | モバイルファクトリー、Suishowが報道を受けた対応について公表。 |
| 2023年11月10日 | Suishowがデジタルデータソリューションに調査を依頼。 |
| 2023年11月20日 | SuishowがGMO サイバーセキュリティ by イエラエに調査を依頼。 |
| 2023年12月4日 | 依頼をしていた2社の調査が完了。 |
| 2023年12月7日 | Suishowが2社の調査結果を受け情報の外部流出はなかったと公表。 |
更新履歴
- 2023年12月11日 PM 新規作成
*1:Suishow株式会社に関する報道について,モバイルファクトリー,2023年10月23日
*2:(開示事項の経過)Suishow株式会社に関する報道について,モバイルファクトリー,2023年12月7日
*3:当社運営の「NauNau」をご利用いただいているお客様への重要なお知らせとお詫びについて,Suishow,2023年12月7日
