マッチングアプリ「Omiai」を運営する株式会社ネットマーケティングは5月21日、外部からの不正アクセスを受け、会員情報が一部流出した可能性が高いと発表した。同社は2018年1月31日から2021年4月20日の期間に、年齢確認審査書類として提出された約171万人の運転免許証、健康保険証、パスポートなどの画像データが流出した可能性があると説明しています。
同社は4月28日15時頃に不審な挙動を感知し、その後、不正アクセスの痕跡を発見したと説明しています。なぜ不正アクセスの発見から情報の発表まで3週間ほど時間がかかったのでしょうか?
広報担当者はBuzzFeed Newsの取材に対し、「誠に申し訳ありません」と謝罪した上で「私共で不審な挙動を感知後、不正アクセスの可能性があるとし調査をしました。その後、正式に不正アクセスであると確認をした後に外部の調査会社と連携して調査を開始し、171万件という膨大な個人情報が流出した可能性があることがわかりました」
「これは言い訳になってしまうかもしれませんが、この不正アクセスの痕跡を確認したのがゴールデンウィークの直前であったこと、さらには当社では新型コロナウイルス感染症の影響でリモートワークを進めていたことなどもあり結果的に発表までに時間を要してしまいました」
利用者は「お客様相談センター」へ
同社は画像データが流出した可能性がある利用者に対し、21日からアプリ上の「お知らせ」で謝罪と状況説明を開始したとしている。不安や疑問などがあれば、同社が開設した「お客様相談センター」(電話番号:0120-535-850 / 午前9時から午後6時)に問い合わせるよう呼び掛けています。
1. 概要について
2021年4月28日15時頃、当社が提供する「Omiai」サービスの会員様情報を管理するサーバーにおいて、意図されていない挙動が観測されたため、直ちに社内点検を行なった結果、法令で確認を義務付けられているお客様の年齢確認書類の画像データに対する不正アクセスの痕跡を発見いたしました。その時点での緊急処置として、特定可能な不正アクセス者のIPを速やかに遮断し、ネットワーク制限を強化するなどの対処を行いました。また、同時に影響範囲の調査を開始しましたが、社内調査のみでは時間がかかることが判明したため、外部専門会社の協力の下、フォレンジック調査および、更なる監視体制の強化を図りました。さらに、システム全般面における第三者検証も同時に開始し、サービス内で利用されている他の情報についてもアクセス制限を強化いたしました。その後、不正送信の可能性がある通信ログを解析した結果、一部会員様(既に退会された旧会員様も含む)の年齢確認書類の画像データが4月20日~4月26日の間、数回にわたって外部に流出した可能性が高いことが判明しました。
2. 対象となる情報
対象:2018年1月31日~2021年4月20日の期間に、当社へ年齢確認審査書類をご提出いただいた171万1千756件分(アカウント数)の年齢確認書類の画像データ。年齢確認審査書類の主な種別:
運転免許証、健康保険証、パスポート、マイナンバーカード(表面)等
そのうち、全体の過半数となる約6割を運転免許証画像データが占めております。
※今回の対象データに個人番号(マイナンバー)1件が含まれている事を確認しております。これは、本来年齢確認審査書類として禁止しているマイナンバーカード裏面画像データが誤って当社へ提出された事によるものです。情報項目:氏名・住所・生年月日・顔写真・年齢確認書類毎の登録番号の全5種
※年齢確認書類の種別により、含まれる情報項目は異なります。
※クレジットカード情報は、全て金融機関に決済業務を委託しており、当社では一切保有しておりませんのでご心配はございません。3. お客様対応について
年齢確認書類の画像データが流出した可能性がある対象者の皆様には、本日よりアプリ上のお知らせ配信による、お詫びと状況の説明を開始させていただき、万が一のご注意情報をお送りしております。
・当社ホームページ上での「お知らせ&お詫び文」を掲示いたしました。
・本日よりお客様相談センターを設置し、お電話とお問い合わせフォームでの受付を開始しました。【お客様相談室】
■お電話でのお問い合わせ
お客様相談センター TEL:0120-535-850 対応時間AM9~PM6時■お問い合わせフォーム
https://www.omiai-jp.com/inquiry/question
4. 当面の対応策および再発防止策について
・特定可能な不正アクセス者のIPを速やかに遮断し、ネットワーク制限を強化。
・外部セキュリティ専門家と社内システム部の協力作業による徹底したシステムチェックと原因調査。
・システムセキュリティの高度化作業とシステム全般の監視強化。
・システム全般における第三者検証の開始と、サービス内の他情報についてもアクセス制限を強化。
・緊急対策委員会を速やかに設置し、お客様情報の不正使用による二次被害防止を最優先とする対処方法と会員様への個別連絡と注意喚起のための施策検討開始。5. 業績への影響
当社業績への影響は現時点では不明であり、2021年6月期の業績予想につきましては、今後精査して、開示すべき事由が発生した際には、速やかに開示いたします。
