【セキュリティ事件簿#2024-270】株式会社Brave group 個人情報流出に関するお詫びとご報告 2024/6/25

ぶいすぽっ
 

本日、当社グループである株式会社バーチャルエンターテイメントが運営する、ぶいすぽっ!公式アカウントより「ぶいすぽっ!JP オーディションに関しての情報について」のお知らせを出させていただきました。

調査を進行している最中となりますが、同一日にBrave groupの運営する「Brave group総合オーディション」および株式会社ENILISの運営する「HareVare VLiverオーディション」においても同様の個人情報流出の可能性があることが判明いたしました。

この度は、漏えい対象者の皆様はもとより、ファンの皆様、関係者の皆様には大変なご迷惑、ご心配をおかけすることを心より深くお詫び申し上げます。

現在、本事案については慎重に調査を続けている最中ではありますが、現時点(2024/6/25 22:00)で判明している情報についてお知らせ申し上げます。

本来、漏えい対象者の皆様にも速やかに個別に謝罪、ご連絡すべき事態と認識しております。

ただ、上記のような状況であるため、今しばらくお待ちいただけますようお願いいたします。

概要

当社グループで利用しているクラウドサービス「Googleドライブ」で管理するファイルにおいて、「ぶいすぽっ!JP オーディション」の応募者用Google Formにご回答いただいた内容が、同Formの「編集用URL」を知るに至った第三者において、閲覧可能な状態にあったことが2024/6/25 17:15に判明いたしました。

ただし、編集用URLはオーディションサイト上で一般公開されていた状態ではなく、何らかの形で編集用URLが流出した可能性が高いと考えております。

また、アクセス履歴の調査を進行している最中となりますが、同一日にBrave groupの運営する「Brave group総合オーディション」および株式会社ENILISの運営する「HareVare VLiverオーディション」においても同様の個人情報流出の可能性が判明いたしました。

上記状況に照らし、故意による漏えいや不正アクセスの可能性も十分あり得るため、今後、慎重に調査を続けて参ります。

2024年6月25日時点で判明している内容

詳細は現在調査中ですが、現時点(2024/6/25 22:00)で判明している状況は以下のとおりです。

ただし、あくまで現時点までに判明した情報であり、今後の調査により変動する可能性もございますので、予めご了承ください。

「ぶいすぽっ!JP オーディション」

1.閲覧可能な状態にあった回答内容の件数

 約7,000件

2.漏えいの対象者

 「ぶいすぽっ!JP オーディション」に応募いただいた皆様

3.発生した可能性のある期間

 2024/6/4 20:05 ~ 2024/6/25 17:50

4.閲覧可能な状態にあった個人情報の項目

・氏名

・お住いの都道府県(ただし、誤って住所まで入力されていた方については住所)

・電話番号

・生年月日

・使用SNS

・志望動機など

「Brave group総合オーディション」

1.閲覧可能な状態にあった回答内容の件数

 約2,610件

2.漏えいの対象者

 「Brave group総合オーディション」に応募いただいた皆様

3.発生した可能性のある期間

 2024/6/4 19:40 ~ 2024/6/25 17:50

4.閲覧可能な状態にあった個人情報の項目

・氏名

・お住いの都道府県(ただし、誤って住所まで入力されていた方については住所)

・電話番号

・生年月日

・使用SNS

・志望動機など

「HareVare VLiverオーディション」

1.閲覧可能な状態にあった回答内容の件数

 約1,043件

2.漏えいの対象者

 「HareVare VLiverオーディション」に応募いただいた皆様

3.発生した可能性のある期間

 2024/6/4 20:16 ~ 2024/6/25 17:50

4.閲覧可能な状態にあった個人情報の項目

・氏名

・お住いの都道府県(ただし、誤って住所まで入力されていた方については住所)

・電話番号

・生年月日

・使用SNS

・志望動機など

漏えいの経緯

Google formの編集用URLの閲覧・編集範囲が「このリンクを知っているインターネット上の全員が閲覧できます」と設定されていたことから、この編集用URLのリンクを知っていれば、誰でも、編集用URLにアクセスし、上記個人情報を閲覧できる状態でありました。

ただし、オーディション応募フォーム上に掲載されているURL(回答用URL)と、回答内容が確認できるURL(編集用URL)は別のものとなっており、オーディションページに掲載されているURLは回答用URLであったことから、個人情報を閲覧できるURLがオーディションページ上で一般公開されていたわけではありませんでした。

本事象から推測するに、編集用URLにアクセスできる可能性としては以下の3つの可能性があり、現在調査中となります。

  • 第三者から編集用URLについて管理者宛に編集権限のリクエストが届き、それを何らかの理由で許可してしまった可能性。
    • ただし、2024/6/25 17:15に確認したところ、当社グループ外の特定のユーザーに編集権限が付与されていた事象は確認されませんでした。そのため、この可能性は低いと考えられます。
  • 何らかの理由により、当社グループ内より編集用URLが第三者に漏えいし、当該第三者から編集用URLの情報流出が拡大してしまった可能性。
  • 不正アクセスにより、編集用URLが流出してしまった可能性。

なお、本事案が判明後、2024/06/25 17:50にクラウドサービス上のファイルへのアクセス制限を実施し、第三者が編集用URLにアクセスできる状態は解消しております。

また、現時点においては不正使用などの被害が発生した事実は確認されておりません。

本事案の判明の経緯

社内の問い合わせ内容の再確認をしたところ、2024/6/18 11:23と2024/6/25 16:28に、上記事象に気が付いた2名の方よりぶいすぽっ!公式XのDMのリクエスト欄にて問い合わせをいただいておりました。

ただ、DMのリクエスト欄における問い合わせであったことから当社グループ内での確認が遅れ、2024/6/25 17:01にお問い合わせをいただいた1名の方によるX投稿が話題に上っていることが2024/6/25 17:15に判明し、上記2件のお問い合わせの存在も含めて本事案が当社グループ内で判明いたしました。

リリース文アーカイブ