net-marketing.co.jp/news/5873/
当社は、2021年5月21日付で、当社が運営するマッチングアプリサービス「Omiai」への第三者からの不正アクセスにより、会員様情報の一部が流出した件を公表いたしました。
この度、外部専門機関の協力のもと進めてまいりました当該事案への調査が完了し、その調査結果及び再発防止策を取りまとめることができましたので、ご報告させて頂きます。
お客様をはじめ、多くの関係者の皆様に多大なご迷惑とご心配をお掛けしましたことを改めて深くお詫び申し上げます。当社は、引き続きお客様の二次被害防止に努めるとともに、早急に再発防止策を実行していくことで、お客様からの信頼を回復すべく真摯に取り組んでまいります。
記
1.不正アクセスの概要
今回の不正アクセスは、外部より当社APIサーバーを介し、当社が契約しているクラウドサーバーより2021年4月20日~同月26日の期間、年齢確認書類画像データの不正取得が複数回にわたり行われていました。本件調査により、第三者が年齢確認書類画像データにアクセスするための情報を不正取得し、それを利用して当該画像データへのリクエストを大量生成する事で、不正アクセスに成功したものであることが判明しました。
年齢確認書類画像データに対する不正アクセスの方法が、マルウエア感染やシステム脆弱性を突いたものではなく、正規のデータリクエストを装ったものであったことから、結果的に4月28日にこれを発見するまでに時間を要しました。また、正常利用を含む多くのログの中から攻撃者の具体的不正アクセス手段を特定する必要があり、全容調査に期間を要しました。これまでお待たせしましたことも重ねてお詫び申し上げます。
当社は、不正アクセスの発見後直ちに、そのアクセス元を遮断した上で当社が保有する全ての年齢確認書類画像データの安全確保のための緊急措置を講じました。なお、緊急措置以後は新たな不正アクセスが成功した痕跡は一切確認されておりません。
不正アクセスの侵入経路概要は下記の図をご参照ください。
<システム構成図及び不正アクセス経路>
2.会員様情報の流出件数と内容
本件調査により、2018年1月31日~2021年4月20日の期間に、会員様からご提出いただいた171万1千756件分(アカウント数)の年齢確認書類画像データの流出を確認いたしました。(2021年5月21日付の公表件数からの変更はございません)
年齢確認書類画像データの種別:
運転免許証、健康保険証、パスポート、マイナンバーカード(表面)等
※上記のうち運転免許証、健康保険証が全体の約9割以上を占めております。
なお「Omiai」サービス及び社内ネットワークの各種ログ情報等を解析した結果、流出が確認された年齢確認書類画像データ以外の個人情報の流出は、本件調査においても確認されませんでした。
3.これまでの対応の経緯
当社は、4月28日の不正アクセスの検知後、直ちに外部の専門家と共に徹底した事実調査・原因究明を開始し「不正アクセスによる会員様情報流出に関するお詫びとお知らせ」公表と同時に「お客様相談センター」を設置して、年齢確認書類の画像データが流出したお客様へのお詫びと状況説明を開始しました。また、お電話やお問合せフォームを通じて、お客様からのお問い合わせやご相談への対応と、二次被害防止の注意喚起を行ってまいりました。
2021年4月28日 15時ごろ | 「Omiai」サービスのサーバーにおいて、通常のサービス運用・業務では想定されない、年齢確認用画像データの取得を内容とする多数のリクエストを確認。 緊急処置として不正アクセス者のものと推定されるIPアドレスを速やかに遮断するとともに、ネットワーク制限を強化し、事実調査と原因究明を開始。 総務省への個人情報漏洩に関する第一報を実施。 |
4月30日 | 警察当局への第一報と被害相談を開始。 |
5月5日 | 外部専門機関の協力を得て、フォレンジック調査と更なる監視体制強化を図るとともに、システム全般における第三者検証を開始。 |
5月21日 | 「不正アクセスによる会員様情報流出に関するお詫びとお知らせ – 株式会社ネットマーケティング (株式会社ネットマーケティング (net-marketing.co.jp)」をHP上で公表し、対象会員様にアプリ内のお知らせにてご連絡と注意喚起を実施。 「お客様相談センター」を設置し、電話及びアプリ内での連絡フォーム等でお問い合わせとご相談受付を開始。 |
6月6日 | 「会員様情報流出に係る対応状況のお詫びとご報告 – 株式会社ネットマーケティング (net-marketing.co.jp)」をHP上で公表し、お問い合わせ対応が遅延していたことへのお詫びと対応状況についての報告を実施。 |
なお、本件公表から現在まで、数多くのお客様より当社へお問い合わせやご相談をいただいた結果、年齢確認書類画像データの流出に係る具体的な二次被害の発生や、明確な因果関係が認められる内容・事象は現時点で確認されておりません。しかしながら、今後の不正流用の可能性も鑑みて、本事案の対象であるお客様には引き続きご注意をお願い申しあげる次第です。当社も引き続き「お客様相談センター」を通じて情報確認及び注意喚起を行ってまいります。
4. 再発防止策
本件調査結果を真摯に受け止め、今回不正アクセスの直接的原因となった外部からの不正データ取得への緊急対策を実施後、システムセキュリティ全般への再発防止策を策定し、速やかに実行にあたっております。新たな攻撃につながる可能性を考慮して詳細は差し控えますが、再発防止策の概要は下記の通りです。
・ 外部ネットワークからのアクセスやリクエスト制限の厳格化
・ アプリケーションの認証設定の見直し
・ 当社が保有する年齢確認書類画像データの保管場所の移動と暗号化
・ システムや情報へのアクセス制御と権限の厳格化及びパスワードポリシーの強化
・ サーバーへのログイン認証の厳格化と監査証跡の強化
・ 社内エンドポイントへの定常的な動態調査基盤の導入
・ 社内ネットワーク及びサービスやコーポレートサイト等外部公開しているサービスに関する脆弱性診断の実施
・ 上記診断に基づくネットワーク構成及びアプリケーションの実装の見直しとセキュリティ強化
・ 年齢確認審査業務の厳格化及び安全性の向上を目的とする、外部のeKYC(electronic Know Your Customer)サービスを導入
なお、今後実施した新たなセキュリティ対策については、その内容に応じて適時公表を行っていく予定です。
5.今後のお客様情報の管理体制について
当社は、不正アクセスの発覚後、個人情報・セキュリティ対策委員会を設置し、これまでに「個人情報管理のルール」及び「情報セキュリティに関するルール」の見直しと会員様情報管理の新たな方針を検討してまいりました。本件調査完了に伴い、その最終方針を決定いたしましたので、下記の通りご報告させて頂きます。
<当社がお預かりする会員様情報の保存期間の変更点>
現行 | 新規(本年12月1日より運用開始予定) |
退会後一律10年間 | ・年齢確認書類画像データ:当社提出後72時間(自動削除) ・会員様の個人情報データ:退会後90日間 |
上記変更については、利用規約及びプライバシーポリシーの改訂案をアプリ内通知で会員様へ事前にお知らせし、ご同意頂いた上での運用開始となります。なお「Omiai」を既に退会されている旧会員のお客様に関しても、当社が保有する年齢確認書類画像データ及び個人情報データの完全削除を本年12月1日より順次実施してまいります。
ただし、誠に恐縮ではございますが、本件不正アクセス対象の171万1千756アカウントのお客様の年齢確認画像データ及び個人情報データにつきましては、今後、万一、二次被害が発生した際の事実確認と、当社対応の必要性から、現時点で直ちに削除を行うことは困難との結論に至りました。今後の状況を引き続き見守り、当社が保管する必要性が無いと判断できた時点で速やかに削除を実施いたします。なお、本件不正アクセス対象データの保管に際しては、全データを暗号化し、「Omiai」データベースとは全く異なる外部インターネットから完全に遮断されたサーバーへ保存することで、お客様にご安心いただける環境での保管を行います。当社としても万全の安全措置を講じることをお約束させて頂きますので、何卒ご理解を賜りますようお願い申し上げます。
以上