特定非営利活動法人日本ネットワークセキュリティ協会は、SECCON実行委員会が主催するイベントであるCTF for Girlsにおいて、イベント参加申込サイトにアクセスしたユーザ全員が、申込者情報の個人情報が閲覧可能な状態となっていた事象が判明しましたのでお知らせいたします。
本件につきまして、以下の通り報告いたしますとともに、ご関係者の皆さまに多大なるご迷惑とご心配をおかけする事態となりましたことを、心より深くお詫び申し上げます。
なお、当事象については、運用設定時の人為的ミスによるものであり、外部からの攻撃等によって発生したものではございません。また、2024年6月24日現在において、当該個人情報の不正利用は行われておりませんが、問合せ窓口を設けており、二次被害や不正利用が発生した場合は速やかに対応してまいります。
■発生した事象と対応
2024年5月31日14時46分に公開したSECCON実行委員会が主催するイベントCTF for Girlsにより運営されたイベント Kunoichi Cyber Game予選会の申込サイトにアクセスした者が、予選会申込の編集用ページにアクセスできる状態であり、2024年5月31日14時46分から6月19日13時19分までの間、予選会申込者の個人情報が閲覧可能な状態となっていた。
本件の時系列は下記のとおりとなります。
- 2024年5月31日14時46分:受付を開始(予選会申込サイトのフォーム公開)
- 2024年6月15日14時37分:予選会申込サイトの受付終了処理を実施
- 2024年6月19日 9時36分:外部からの指摘により事象が発覚
-2024年 6月19日 13時19分:予選会申込サイトフォームの権限変更し、外部から閲覧出来ないことを確認
-2024年 6月20日12時56分:参加者に対する謝罪および対応状況の連絡の実施
■閲覧可能な状態になっていた情報
件数:Kunoichi Cyber Game予選会申込サイトを利用した26名
(閲覧可能になっていた情報)
・氏名(ローマ字)
・メールアドレス
・Beginners CTF(同主催の別のイベント) で登録したチーム名
・国籍(日本国籍か否か)
・国内在住か国外在住か
・2024年11月15日時点で18歳以上~30歳未満か否か
・予選通過の場合、通過者に参加が認められるイベントCODEBLUE(2024年11月14日と2024年11月15日)に両日参加可能か
・予選通過の場合、チームメンバと協力して準備が進められるか
■原因
予選会申込サイトに利用したGoogleフォームのアクセス範囲・編集権限を「リンクを知っている全員」と設定したことが原因となります。
本設定により、Googleアカウントにログインした状態で、予選会申込サイトのフォームにて閲覧・回答を行ったGoogleユーザが、自身のGoogleアプリからGoogleフォームに移動した際に、「最近使用したフォーム」の欄に予選会申込サイトのフォームが表示され、申込者の情報が閲覧可能な画面に遷移が可能となっておりました。
■影響範囲
・Googleフォームから申込者の情報を大会主催者以外の者がダウンロードしたログはございません。
・現在のところ当該個人情報が不正に使用された事実は確認、報告されておりません。
・予選会申込サイトのフォームの操作ログを調査した結果、予選会の結果に影響するような操作は行われていませんでした。
■対応について
2024年6月20日より、本イベントの参加登録者全員に対し謝罪および対応状況の連絡を実施しております。
2024年6月24日に個人情報保護員会へインシデント発生の報告書実施いたしました。
今後は、以下の対応を徹底し、再発防止に努めてまいります。
・Googleフォームのアクセス範囲・権限を「リンクを知っている全員」が設定できないようにポリシーにて強制する
・関係者間でGoogleフォームを共有する際は、関係者のアカウントからのみアクセスを許可する運用とする
・Googleフォームが適切な権限設定になっているか、また想定通りの挙動をしているかを、フォーム作成時に都度確認する
