5月21日にネットマーケティング社が公表した「Omiai会員の個人情報流出」について、約3ヶ月が経過した8月11日にようやく調査結果並びに再発防止策の公開が行われました。

本記事では、ネットマーケティング社が8月11日に公開した調査結果と再発防止策をみていきたいと思います。

新たに公開された情報

ネットマーケティング社のコーポレートサイトに「不正アクセスによる会員様情報流出の調査結果と今後の対応について」というタイトルのページが追加されました。

今まで公開されていたOmiai個人情報流出については、発生した事象が事実ベースで速報的に記載されているのみでした。今回公開されたページでは、外部の専門機関の協力のもと行った調査の調査結果並びに再発防止策が公開されました。

ネットマーケティング社の不正アクセスの概要

今回の不正アクセスは、マルウェア感染やシステムの脆弱性攻撃ではなく、正規のデータリクエストを利用した攻撃となっており、調査に時間がかかったようです。

気になるのは、年齢確認書類画像データをAPIサーバーから取得できるようになっている点でしょうか。

流出件数と流出内容

流出経路・流出内容は、5月21日に公表されたものから変更は内容です。

流出したデータは、「運転免許証」「健康保険証」「パスポート」「マイナンバーカード(表面)」などの年齢確認書類の画像データとなっています。このうち、「運転免許証」「健康保険証」が全体の約9割を占めており、2018年1月31日〜2021年4月20日の期間に年齢確認書類を提出した1,711,756件が対象となりました。

これまでの経緯

基本的に、ネットマーケティング社のコーポレートサイトで公開されている情報が時系列で並んでいるものとなっています。また、今回のページには記載はありませんが、日本プライバシー認証機構(JPAC)から認証を受けていた「TRUSTe」についても2021年6月28日付でライセンス契約の終了となっています。

再発防止策

公開された再発防止策は以下のようになっています。

• 外部ネットワークからのアクセスやリクエスト制限の厳格化
• アプリケーションの認証設定の見直し
• 当社が保有する年齢確認書類画像データの保管場所の移動と暗号化
• システムや情報へのアクセス制御と権限の厳格化及びパスワードポリシーの強化
• サーバーへのログイン認証の厳格化と監査証跡の強化
• 社内エンドポイントへの定常的な動態調査基盤の導入
• 社内ネットワーク及びサービスやコーポレートサイト等外部公開しているサービスに関する脆弱性診断の実施
• 上記診断に基づくネットワーク構成及びアプリケーションの実装の見直しとセキュリティ強化
• 年齢確認審査業務の厳格化及び安全性の向上を目的とする、外部のeKYC（electronic Know Your Customer）サービスを導入

エンジニアから見た印象としては、今回のインシデントを防ぐための最小限の対策ではなく、その他のインスデントを防ぐためのより包括的な対策となっているようです。

今後のお客様情報の管理体制について

Omiaiで管理する会員情報は、今までは退会後一律10年間の情報保存期間を設けていました。2021年12月1日より運用開始予定の方針では、

• 年齢確認書類画像データ: 提出後72時間経過後に自動削除
• 会員のその他個人情報データ: 退会後90日間

となっています。運用開始まで4ヶ月ほど時間がかかってしまう点が気になりますが、保存期間が明記されており、かつ現実的な期間となっているようです。

一方で、今回流出した対象者については、二次被害が発生する可能性があることを考え、現時点で一括削除するのではなく、安全な場所で保存する形になっています。

今回の報告に対する私見

新たな情報がいくつか出てきました。しかしながら、これらの新しい情報の主体はあくまでもネットマーケティング社となっており、「今回の情報流出を請けて、ユーザーは何をするべきか・何をする必要はないか」について一切述べられていない点が気になりました。

人によっては、CICなどの信用情報登録機関に対して自費で自己申告を行っているケースや、免許証の紛失届の申告を検討しているケースなどもあるようです。これらに対し、ネットマーケティング社自身が適切な情報を開示することは難しいかもしれないですが、今回の問題を引き起こした当人として、そのような情報開示が欲しかったというのが実情です。