コラム
» 2021年05月24日 07時00分 公開

「Omiai」情報漏えい事件、何がダメだったのか 他の会社も「他人事ではない」理由対策は?(1/3 ページ)

[宮田健,ITmedia]

 恋活・婚活マッチングアプリ「Omiai」を提供するネットマーケティングは5月21日、外部からの不正アクセスを受け、171万1756件分の個人情報が漏えい可能性が高いと発表した。2018年1月31日〜21年4月20日に会員登録を行った一部会員(退会者を含む)の、年齢確認・審査書類の画像データが対象だ。

 年齢確認には「運転免許証、健康保険証、パスポート、マイナンバーカード(表面)等」が使われ、その過半数を運転免許証の画像データが占めている。これらの情報はオンラインでの本人確認で利用されることが多く、当然、その中には氏名、住所、生年月日、顔写真が含まれ、“替えのきかない”個人情報が漏えいしたといえるだろう。

photo マッチングアプリ「Omiai」を管理するサーバーが不正アクセスを受け、約171万件の個人情報が漏えいした可能性がある=画像はOmiaiの公式サイトより

 発表内容はあくまで第一報であり、その中で「システム全般面における第三者検証を開始する」とあるため、サイバー攻撃の手口といった詳細は今後明らかになっていくはずだ。

 今回の事象は学ぶべき点も多く、本件とは無関係の企業、サービスも場合によっては対応を考えるべきだ。“Omiai事件”から学ぶべき点を考えてみよう。

根本的な問題は「持つべきものではない情報を持ったこと」

 恋活・婚活マッチングをサービスとして行う以上、本人確認を厳格に行うべきなのは理解できるだろう。年齢確認などのため、必要な情報をインターネット経由で確認することは必要なステップといえる。問題は、その情報が確認完了後も保管されていたことにあるだろう。

 セキュリティの基本として、情報漏えいを防ぐ最大の対抗策は「そもそも情報を持たない」ことだ。

 例えばクレジットカードに関していえば、かつては「カード裏面に記載されたセキュリティコード(CVV2/CVC2)を保存しないこと」がベストプラクティスであり、決済の常識だった。これはペイメントカード情報と取引における基準「PCI DSS」でも定められているものだ。しかし、そうした知識がなかった企業で、セキュリティコードが漏えいする事件が相次いだことは記憶に新しい。

 現在ではクレジットカード決済自体をアウトソーシングすることが一般的となっており、決済処理は行うものの、自社内にクレジットカード情報を一切残さないというセキュリティ対策が浸透したともいえるだろう。

photo 写真はイメージです(提供:ゲッティイメージズ)

 今回の事件に当てはめると、もし年齢確認が完了したならば、管理に気をつかうべき運転免許証などの画像データは破棄する選択肢もあっただろう。本サービスに限らず、厳密な本人確認のためにオンラインで画像データを取得しているサービスを運営する事業者は、この点について見直しが必要だ。

 もちろん、業種業態によっては一度確認した書類を、後ほど活用する場合もあるだろう。その際は都度、書類を送信してもらうことも検討すべきだが、どうしても運転免許証などの画像データを保管しなければならない場合、暗号化して保存することは最低限行わなければならない。同様に、その暗号鍵に関しても、厳重に管理する必要がある。暗号化を行ってさえいれば、万が一データが漏えいしたとしても、画像そのものを見ることができなくなるはずだ。

 しかし、それを単に「パスワード付きZIPファイル」などで暗号化しただけでは、パスワードを総当たりすることで復号されるリスクがある。最低限行うべき手法などについては、情報処理推進機構(IPA)の「暗号鍵管理ガイドライン」や、電子政府推奨暗号の安全性を評価・監視し、暗号技術の適切な実装法・運用法を調査・検討するプロジェクト「CRYPTREC」の資料が役に立つだろう。

この事件は“詐欺師”も注目するはずだ

 このような事件は、今回が初めてではない。

       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

アクセスランキング
  • 本日
  • 週間

    Digital Business Days

    - PR -