運転免許証の画像など身元確認などに使われる個人情報およそ171万件が流出した可能性があると発表した、婚活マッチングアプリ「Omiai」。運営会社によると、4月20日から26日にかけて外部から不正アクセスを受け個人情報が流出した可能性が高いものの、いまのところ不正流用の事実は確認されていないという。
この件について取材するため、『ABEMAヒルズ』は運営会社「ネットマーケティング」の取材に関する問い合わせのフォームから申し込んだ。しかし、全ての項目を入力し確認画面へ移動したところ、なぜか番組スタッフが入力した情報ではなく全く別人が入力した情報が表示されたのだ。
そこには、問い合わせしたとみられる人の名前、電話番号、メールアドレスなどの情報や、問い合わせ内容が。エラーが出るなどフォームの挙動に異変を感じたため、番組ではメールで改めて取材の申し込みとフォームの不具合について運営会社側に報告をした。すると、23日夜に運営会社からの返答があった。
「5月22日土曜日午前に当社コーポレートサイトのお問い合わせフォームを通じてご連絡をいただきましたが、その時点で当社コーポレートサイトの管理システムに不具合が発生しており、ご記載頂いた個人情報の一部が他のお客様から一時的に閲覧可能な状態となっておりました」
なんと、問い合わせフォームに入力した取材申し込みの内容が、他人から一時的に閲覧可能になっていたという。この現象はSNS上でも相次いで報告され、「確認画面に進んだら自分ではない他人の問い合わせ内容の確認画面が表示されたんだけどどういうこと?」「1時間後くらいに見知らぬアドレスの見知らぬ人から『Omiaiに送信しましたか?全部漏れているようです』って私の問合せ内容まるまる貼り付けた謎のメールが届きました。怖すぎます…」という声も。
Omiaiの情報流出を受け不安に思った利用者が問い合わせると、さらにその情報が漏れてしまうという最悪の状況。運営会社は23日、原因について発表した。サーバー増強を目的とするサーバープラットフォームの移行に伴うシステム設定の不備によって、お問い合わせフォームに投稿したキャッシュが残ってしまうケースがあったためだということだ。
一連の情報流出について、Webのセキュリティ問題に詳しいセキュアスカイ・テクノロジー取締役CTOのはせがわようすけ氏に聞いた。
「プレスリリースを見る限り、問い合わせが多くなるでしょうということでそこを強化したと。その際に不備があったと読み取れる。今回の漏洩を受けて、より問い合わせをきちんと受け取るために設定したのが裏目に出てしまった」
比較的対応も早く、アプリではなく運営企業の問い合わせ窓口だったため、そこまで流出件数は多くないのではないかと分析するはせがわ氏。ただ、およそ170万件にも及ぶ免許証などの本人確認資料の流出に関しては、今後利用者は十分な注意が必要だとした。
「よくない風潮ではあるが、こういうことで注目されると、より攻撃が増える傾向がある。『ここは弱いサイトだ』というような見方をするのか、おもしろ半分で脆弱性があるかないかを試す人は一定数増える傾向があって、そういう意味で今後しばらくの間この会社はいたずらも含めたようなもの(危険)にさらされる可能性は増えるだろう。万が一そこに対して設定不備、簡単に見つかる脆弱性があった場合には、より被害が広がってしまう可能性がないわけではない。
『Omiai』の画像データでいうと、本人確認のために使われる可能性が大いにある。本来であれば電子的に申し込みが簡単にできないような、例えばこれまで窓口で免許証を見せるというようなことをやっていたサービスで、本人に成り代わってそのサービスを利用されてしまう可能性が出てくる。極端な話をすると、お金を貸すようなサイトで、本人確認が甘く『免許証の写真だけで大丈夫です』というところが仮にあったとすると、本人があずかり知らないところでローンが組まれてしまう可能性がある」
このニュースに慶応大学特任准教授などを務めるプロデューサーの若新雄純氏は、「リアルの世界では、お店や建物の面構え、スタッフの雰囲気や接客などでサービスの質などを判断しやすいが、ネットだと、アプリやWEBサイトなどの見た目ではそのあたりがなかなか判断できない」とした上で、「ネットサービスにそういう個人情報を預ける時は、僕は残念だけどまだ半信半疑で使っている。“もしかしたら簡単に流出する可能性もある”と思って、どういうところに自分の情報を預けたのかある程度把握しながら使っていくしかないのでは」との見方を示した。
(ABEMA/『ABEMAヒルズ』より)
