【セキュリティ事件簿#2023-422】Suishow 株式会社 当社運営の「NauNau」をご利用いただいているお客様への 重要なお知らせとお詫びについて


2023 年 10 月 23 日付「Suishow 株式会社に関する報道について」にてお知らせいたしましたとおり、当社が運営する「NauNau」において、一時、少なくとも 200 万人以上のユーザの位置情報やチャットなどが外部から閲覧可能な状態が生じていたとの報道があり、これを受け、個人情報漏洩の可能性を含め第三者機関による調査を進めてまいりましたが、調査が終了いたしましたので、お知らせいたします。

調査の結果、セキュリティ設定の不備により、特定の手順を踏むことで個人情報の一部が不正に閲覧可能であったことが判明いたしましたが、第三者機関による調査で確認した範囲において情報流出の事実は確認されませんでした。調査結果等は下記のとおりです。

「NauNau」の利用者および関係者の皆さまには多大なご迷惑とご心配をおかけしましたことを、心よりお詫び申し上げます。現時点ではセキュリティ設定の見直しを行い、当該情報の不正な閲覧を行うことはできませんが、調査結果を踏まえ、再発防止策を策定し、セキュリティ向上に取り組んでまいります。なお、サービスの再開時期は、再発防止策(情報セキュリティ体制の見直しを含みます。)の策定と合わせて検討しておりますので、確定次第公表いたします。

■ 調査結果概要

「NauNau」が利用しているクラウドサービスにおいて、当社のセキュリティの設定に不備がある状態でサービスが運用されていたため、不正にデータベースにアクセスできる状態でした。

<個人情報などにアクセスするための手段>
上記状況において、ユーザの位置情報やチャット履歴などを取得するためには、クラウド上のデータベースへのアクセス情報を入手し、様々なリクエストを送信する必要があります。

第三者機関による調査の結果、これを実行するためには、SSL/TLS を利用したモバイルアプリの通信を傍受し解析する知識と、クラウドサービスの API へのリクエストを組み立てるための知識が必要であることがわかりました。

<上記手段によりアクセス可能な情報と期間>

2022/09/29~2023/05/08:ユーザの現在地:推定 304 万ユーザ分
2022/09/29~2023/03/02:チャット内容/画像:推定 167 万ユーザ分
2022/09/29~2023/10/20:生年月日:推定 283 万ユーザ分
2022/09/29~2023/10/20:個人情報を含まないその他のユーザ情報
(アプリの起動回数等):推定 380 万ユーザ分
2022/10/22 20:34~20:58:ユーザの過去の位置履歴 :6,753 ユーザ分
2023/06/13~2023/10/20:カップル・家族グループに所属しているユーザ:53,457 ユーザ分
2023/10/06~2023/10/20:特定アプリのインストール状況※1:38,070 ユーザ分

※1 「NauNau」には恋人がマッチングアプリ等をインストールしているか分かる機能があり、当該アプリ等のインストールの有無に関する情報

■ 本件の原因

「NauNau」が利用しているクラウドサービスにおいて、当社のセキュリティの設定に不備
がある状態でサービスが運用されていたため。

■ 経緯及び対応

2023 年 10 月 20 日(金) 当社に対し、報道機関から「NauNau」における個人情報漏洩の可能
性について指摘
2023 年 10 月 20 日(金) 当社にて状況調査、第三者機関への相談開始
2023 年 10 月 21 日(土) 「NauNau」のサービスを停止しアクセスを遮断
2023 年 10 月 23 日(月) 総務省及び個人情報保護委員会へ報告
2023 年 11 月 10 日(金) 第三者機関としてデジタルデータソリューション株式会社に個人情報
の流出の有無に関する調査を依頼し、調査開始
2023 年 11 月 20 日(月) 第三者機関として GMO サイバーセキュリティ by イエラエ株式会社
に表 1 記載の期間において「NauNau」上の情報に第三者がアクセスす
るための方法について調査を依頼し、調査開始
2023 年 12 月 4 日(月) 第三者機関による調査が完了

■ 再発防止策

専門機関である第三者機関の診断を受けた上で、再発防止策の検討を進めております。
改めまして、「NauNau」の利用者および関係者の皆さまに多大なるご迷惑とご心配をおか
けしましたことを、深くお詫び申し上げるとともに、再発防止に努めてまいります。