【セキュリティニュース】婚活アプリ「Omiai」171万件の個人情報漏洩から学ぶウェブサイトのセキュリティ対策

セキュリティ

2021年5月21日、ネットマーケティングは同社が提供する恋活・婚活マッチングアプリ「Omiai」の会員情報の一部、171万1千756件分(アカウント数)の年齢確認書類の画像データが流出した可能性が高いと発表しました。(注1)

Omiai個人情報漏洩インシデントの概要

不正アクセスを受けたのはOmiaiの会員情報を管理するサーバであり、2021年4月28日15時頃、同サーバにおいて意図されていない挙動が観測されたため、社内点検を行なった結果、年齢確認書類の画像データに対する不正アクセスの痕跡を発見。
また、その後の通信ログ解析により、年齢確認書類の画像データが4月20日~4月26日の間、数回にわたって外部に流出した可能性が高いことが判明したとのことです。

同社によれば、年齢確認書類は運転免許証、健康保険証、パスポート、マイナンバーカード(表面)等であり、恋活・婚活マッチングアプリというサービスの性質上からも、重要性の高い個人情報漏洩インシデントについて、多くのメディアから報道される結果となりました。

なぜ重要個人情報を保存したのか?管理方法への疑問

本件に関して疑問に思うのは、下記の2点です。

  • なぜ会員の年齢確認の審査に用いる書類(画像データ)が外部からアクセス可能な場所に保存され続けているのか
  • 年齢確認の審査の終了後、早期に削除するようなワークフローになっているべきではないか

この点については発表された内容の中では確認することができません。

国外におけるマッチングサービスの類似インシデント事例

類似といっても、あくまで「マッチングアプリ/マッチングサービス」という観点での話であり、Omiaiのような「恋活・婚活」とは全く性質が異なるものである、との前提をご理解ください。
私たちのようなセキュリティ事業に携わる者が、今回の事案から想起される過去のインシデント事例としては、2015年に起きた「アシュレイ・マディソン(Ashley Madison)」における、大規模な会員情報の流出事件があります。

アシュレイ・マディソンは「人生一度。不倫をしましょう。(英語: Life is short. Have an affair.)」をスローガンにする、2001年に解説された既婚者向けの出会い系サイト(運営元の本社はカナダ)です。
2015年にImpact Teamと呼ばれるハッキンググループによるハッキング被害により、40カ国3,700万人分の会員情報が盗まれ、さらには非常にセンシティブな情報を含む会員情報やクレジットカード情報、Webサイトのソースコード等、Impact Teamに窃取された10GBものデータがダークウェブ上で公開されてしまいました。

当該データは、今もなおダークウェブ上のマーケットや、ディープウェブ上のフォーラムで共有されていることを確認しています。

重要個人情報流出にともなう二次被害の可能性

被害者の立場で考えてみれば、一度外部に流出したデータが取り戻せず、ネット上に残り続けることに対しては、非常に大きな不安と懸念があるはずです。今回のOmiaiのインシデントについても、サービスとしての性質はそれこそ大きく異なりますが、事業者側に求められる責任は大きいです。

流出した運転免許証や健康保険証、パスポートなどの画像データがアシュレイ・マディソンの事案と同様にダークウェブ/ディープウェブ上で今後共有され、悪用されるなどの二次被害が発生する可能性が考えられます。

被害者である会員に対して、事業者側がどのような補償を提供していくのか、今後注目していきたいところです。

会員情報を取り扱うウェブサイトのセキュリティ対策として、何をすべきか?

今回のOmiaiの件でいえば、年齢確認の審査書類は審査終了後には削除することが望ましく、公開システム上で保持し続けている必要はなかったものと考えられます。また、不正アクセスに至る原因についてまでは発表内容では言及されておりませんが、システムを構成するOSやアプリケーションの脆弱性や、Webアプリケーションの脆弱性について対応できていない部分があったのかもしれません。

ウェブサイトのセキュリティ対策全般について参考になるのは、IPA(情報処理推進機構)の「ウェブサイトのセキュリティ対策のチェックポイント20ヶ条」です。(注2)

【ウェブサイトのセキュリティ対策のチェックポイント20ヶ条】

  1. ウェブアプリケーションのセキュリティ対策
    (1)公開すべきでないファイルを公開していませんか?
    (2)不要になったページやウェブサイトを公開していませんか?
    (3)「安全なウェブサイトの作り方」に取り上げられている脆弱性への対策をしていますか?
    (4)ウェブアプリケーションを構成しているソフトウェアの脆弱性対策を定期的にしていますか?
    (5)不必要なエラーメッセージを返していませんか?
    (6)ウェブアプリケーションのログを保管し、定期的に確認していますか?
    (7)インターネットを介して送受信する通信内容の暗号化はできていますか?
    (8)不正ログインの対策はできていますか?
  2. ウェブサーバのセキュリティ対策
    (9)OSやサーバソフトウェア、ミドルウェアをバージョンアップしていますか?
    (10)不要なサービスやアプリケーションがありませんか?
    (11)不要なアカウントが登録されていませんか?
    (12)推測されやすい単純なパスワードを使用していませんか?
    (13)ファイル、ディレクトリへの適切なアクセス制御をしていますか?
    (14)ウェブサーバのログを保管し、定期的に確認していますか?
  3. ネットワークのセキュリティ対策
    (15)ルータなどを使用してネットワークの境界で不要な通信を遮断していますか?
    (16)ファイアウォールを使用して、適切に通信をフィルタリングしていますか?
    (17)ウェブサーバ(または、ウェブアプリケーション)への不正な通信を検知または、遮断していますか?
    (18)ネットワーク機器のログを保管し、定期的に確認していますか?
  4. その他のセキュリティ対策
    (19)クラウドなどのサービス利用において、自組織の責任範囲を把握した上で、必要な対策を実施できていますか?
    (20)定期的にセキュリティ検査(診断)、監査していますか?

こちらの確認項目をまずは自己点検として網羅的に実施したうえで、内容に不安がある、もしくは第三者や専門家によるチェックが望ましいと判断された際には、セキュリティ診断サービスを提供する会社に相談してみてください。

まとめ

情報漏洩が発生した場合、顧客から損害賠償を請求されるほか、営業機会の損失や社会的信用の低下などにより企業の利益低下も懸念されます。被害規模の大きい不正アクセスによる情報漏洩件数が増加していることから、ウェブサイトからの情報漏洩の発生はどのような企業にとっても他人事ではありません。

弊社の「P-SS 情報セキュリティ評価サービス」では、現状のセキュリティ対策を「人的」「組織的」「技術的」「物理的」といった複数の観点から評価し、本来あるべき姿とのギャップを特定します。会員情報を取り扱うウェブサイトにおいてもどこに弱点があるか、攻撃を受けやすい脆弱性があるかを可視化、必要な対策の優先順位をつけることを可能にします。

⇒「P-SS 情報セキュリティ評価サービス」|PNC株式会社
https://www.pnc.jp/pss.html

ご興味がございましたら、ぜひお問い合わせください。

出典

安全なウェブサイトの運用管理に向けての20ヶ条 ~セキュリティ対策のチェックポイント~:IPA 独立行政法人 情報処理推進機構
情報セキュリティ関連情報のユーザー、管理者、技術者に向けた発信、その前提となる情報収集、調査分析、研究開発、技術評価等の実施
タイトルとURLをコピーしました