公表日:2024年12月24日
組織:株式会社Schoo
原因:試用アカウントおよび代理店運用の管理不備
攻撃手法:情報漏えい(設定・運用不備による閲覧可能状態)
影響範囲:所属会社名・氏名・プロフィール画像(最大980件)
深刻度:中(個人情報の漏えいが確認)
分類:誤操作 / 運用不備
本件は、サービスのアカウント管理運用における不備により、利用者間で個人情報が閲覧可能となった情報漏えい事案である。
事件概要
株式会社Schooは2024年12月、自社サービスにおいて個人情報漏えいが発生したと発表した。
同社によると、法人向けサービス「Schoo for Business」の集合学習機能において、特定条件下で利用者間の情報が閲覧可能な状態となっていた。
影響として、所属会社名や氏名、プロフィール画像など最大980件の個人データが漏えいしていたことが確認されている。
同社は該当機能の停止やデータ削除を実施し、現在は原因調査と再発防止策の検討を進めている。
本記事では、同社が公表した公式リリースの内容をもとに本件の概要を整理する。
分析
今回の事案では、サービスの機能利用時におけるアカウント管理の不備により、利用者間で情報が閲覧可能となっていた点が特徴である。
一般的にこのような情報漏えい事案では、アクセス権限やアカウント管理の設計・運用の不備が原因となるケースが見られる。
特に試用アカウントや代理店経由の運用など、複数経路でアカウントが発行される環境では、管理範囲の不整合が生じやすいとされる。
企業は通常、ログ確認や設定見直しを通じて影響範囲を特定し、機能停止や運用改善などの対応を進める。
今回の発表からも、運用プロセスの見直しと関係者への指示の再確認が重要な対応ポイントとなっていることが読み取れる。
この事件からわかること
今回の発表から読み取れるポイントとして、一般的には次のような点が挙げられる。
- アカウント管理の不備が情報漏えいにつながることがある
試用環境や代理店経由の運用など複数経路がある場合、管理の一貫性が重要となる。 - 機能設計と運用の両面での確認が必要となる
システム上の仕様だけでなく、実際の運用方法によって意図しない情報公開が発生することがある。 - インシデント発覚後は機能停止などの初動対応が行われる
問題のある機能の停止やデータ削除により、影響拡大の防止が図られるケースが多い。 - 再発防止には運用ルールと教育の見直しが重要となる
関係者への指示や管理手順の再確認を通じて、同様の事案の防止が進められる。
関連事件
- 【セキュリティ事件簿#2024-564】共栄フード株式会社 弊社システムへの不正アクセスの発生について 2024/12/19
- 【セキュリティ事件簿#2024-562】ティーエムジーインターナショナル株式会社 不正アクセスによるシステム侵害発生のお詫びとお知らせ 2024/12/19
- 【セキュリティ事件簿#2024-561】日清紡ホールディングス株式会社 不正アクセスによる個人情報漏えいのおそれについて 2024/12/20
- 【セキュリティ事件簿#2024-560】株式会社静岡制御 ランサムウェア攻撃に関するお知らせとお詫び 2024/12/18
- 【セキュリティ事件簿#2024-558】原田産業株式会社 個人情報流出の可能性に関するお詫びとご報告 2024/12/18
公式発表(アーカイブ)
2024年12月24日リリース分:個人情報漏えいのお知らせとお詫び
このたび、弊社サービス「Schoo for Business(以下「本サービス」)におきまして、弊社のお客様の個人データが、特定条件下におけるお客様間で閲覧可能な状態にあり、これにより個人データ(主に所属会社名・氏名)が漏えいしていたことが判明いたしました。お客様には大変ご心配をおかけする事態となりましたことを深くお詫び申し上げます。
本事案に係る現時点の調査結果について、以下のとおりご報告申し上げます。
なお、現時点では、本件にかかる業績予想の変更はございません。今後開示すべき事項が発生した場合には速やかにお知らせいたします。
本サービスにて集合学習機能*1をご利用いただく際、2020年3月30日~2024年12月23日の間において、下記いずれかの条件下で、お客様間で個人データが閲覧可能な状態であることが判明いたしました。
- 条件1
本契約前に弊社がご用意した試用アカウント*2を利用して本サービスの集合学習機能をご利用いただいた場合 - 条件2
弊社が提携する一部の販売代理店を経由してご契約いただき、本サービスの集合学習機能をご利用いただいた場合
*1 利用者同士がSchooの授業やオリジナル動画を同時に視聴しながら、コミュニケーションを取ったり学びをアウトプットできる機能
*2 ご契約前にトライアルとしてとしてSchooの各機能をお試しいただくためのアカウント
- 集合学習機能にて学習部屋*3を作成したお客様
- 漏えいした個人データ項目
- 所属会社名、ユーザー名(氏名)、プロフィール画像
- 個人データを閲覧できた範囲
- 期間内に試用アカウントにて本サービスを利用したお客様間、もしくは期間内に該当の同一販売代理店にて契約し本サービスを利用されたお客様間
- 集合学習機能にて学習部屋に参加したお客様
- 漏えいした個人データ項目
- ユーザー名(氏名)、プロフィール画像
- 個人データを閲覧できた範囲
- 期間内に同一の学習部屋に参加したお客様間
*3 集合学習機能を使ってSchooの授業やオリジナル動画を同時に視聴しながら利用者同士でコミュニケーションを取るための部屋。利用者が任意の授業や動画を指定して作成できる
本事案により漏えいが確認された個人データの総数は980件であり、内訳は以下となります。
- 条件1
試用アカウントで集合学習機能の学習部屋を作成したお客様の個人データに係る人数:190人
試用アカウントで集合学習機能の学習部屋に参加したお客様の個人データに係る人数:690人 - 条件2
販売代理店経由の契約で集合学習機能の学習部屋を作成したお客様の個人データに係る人数:6人
販売代理店経由の契約で集合学習機能の学習部屋に参加したお客様の個人データに係る人数:94人
試用アカウントの運用不備により、同一の管理アカウント配下で複数社のお客様の試用アカウントを発行・管理している状況が判明いたしました。
また、一部の販売代理店に対する弊社の運用指示に不備があり、同一の管理アカウント配下で複数社のお客様のIDを発行・管理している状況も判明いたしました。
2024年12月19日、試用アカウントをご利用中のお客様より報告を受け問題が判明。
同日、試用アカウントで作成された集合学習機能の学習部屋を全て削除し、試用アカウントによる集合学習機能の利用を停止。
2024年12月23日、該当する販売代理店経由で契約されたアカウントで作成された集合学習機能の学習部屋を全て削除し、同アカウントによる集合学習機能の利用を停止。
現時点において二次被害が生じた事実は確認されておりません。
このたびの事態を厳粛に受け止め、試用アカウントの運用を見直すと同時に、従業員への教育を徹底いたします。また、併せて販売代理店への指示内容の再確認を行い、必要な是正を実施してまいります。