原因はGoogleドライブの設定ミス エイチームが個人情報漏えいの調査結果を発表セキュリティニュースアラート

エイチームはGoogleドライブのファイルの一部が外部からアクセス可能な状態にあったことを発表した。1369件の個人情報含むファイルに漏えいの可能性があり、対象者は93万5779人に上るとされている。

» 2023年12月25日 08時00分 公開
[後藤大地有限会社オングス]

この記事は会員限定です。会員登録すると全てご覧いただけます。

 エイチームは2023年12月21日、同年12月7日に発生した個人情報漏えいのサイバーセキュリティインシデントに関する調査結果を発表した。

エイチームは個人情報漏えいの可能性について報告書を公開した(出典:エイチームのWebサイト)

原因はGoogleドライブの設定ミス 93万人に漏えいの可能性

 この問題は「Googleドライブ」で管理されているファイルがインターネットからアクセス可能な状態にあることから発生しており、対象となるファイルは1369件、影響を受けた可能性がある人数は93万5779人に上るとされている。

 エイチームによると、グループ全体で導入を検討しているセキュリティ製品の精度を検証したレポートによって、2023年11月21日に同社がGoogleドライブで管理している一部のファイルがインターネットから閲覧可能な状況にあることが明らかになった。

 該当ファイルの閲覧範囲が「このリンクを知っているインターネット上の全員が閲覧できます」に設定されていたことが原因とされており、リンクを知っているユーザは誰でもアクセスできる状態にあったという。

 調査の結果、個人情報漏えいの可能性がある個人情報を含むファイル数は1369件、対象となる人数は93万5779人、インターネットで個人情報の閲覧が可能となっていた期間は2017年3月から2023年11月22日までとされている。

 アクセス可能だったとされる主なデータは以下の通りだ。

  • 端末識別番号
  • 顧客管理番号
  • メールアドレス
  • 氏名
  • 住所
  • 電話番号
  • 所属会社名

 個人情報漏えいの可能性がある対象者は以下の通りだ。

  • エイチームグループで運営するサービスやアプリを利用したことのある一部のユーザー
  • エイチームグループと契約や取引があった一部の取引先企業や法人
  • エイチームグループの担当者と電子メールなどの対応があった一部の法人
  • エイチームグループの採用選考に応募した一部の新卒採用および中途採用の採用候補者
  • エイチームグループのインターンシップに参加した一部の学生
  • エイチームグループに在籍している従業員(退職者を含む)

 エイチームはGoogleドライブで管理している一部のファイルがアクセス可能な状態であることが判明した翌日に、クラウドサービスにおけるファイルへのアクセス制限を設定し、個人情報を閲覧できる状態は解消した上で詳細の調査および精査を開始したと説明している。

 同社は再発防止策として次の項目を挙げている。

  • セキュリティツールを活用して監視の強化を図り、情報システム部門の管理で情報漏えいのリスクを抑える
  • ファイル管理や共有を実施するクラウドサービスにおいてアクセス範囲設定を見直し、アクセス制限がない公開設定を無効化することによって外部共有の制御を実施した
  • 個人情報に関する管理体制の強化、規定やルールなどの見直しおよび社内への周知を徹底し、個人情報を含めた情報管理に関する意識の向上を図る。第三者である外部講師を招いた研修を実施する

 エイチームは情報漏えいが発生した可能性のあるユーザーに2023年12月20日から順次電子メールによる連絡を実施している。

Copyright © ITmedia, Inc. All Rights Reserved.