ビジネスSNS「Wantedly」 数十万件に上る情報が漏えいした可能性を公表：セキュリティニュースアラート

ウォンテッドリーはビジネスSNS「Wantedly」から情報が漏えいした可能性があると発表した。2024年4月、同年5月に公表した不具合に加えて新たに10件の不具合が明らかになった。

[後藤大地，有限会社オングス]

　ウォンテッドリーは2024年7月30日、同社が提供しているビジネスSNS「Wantedly」におけるシステム設定不備によって、情報が漏えいした可能性があることを発表した。

　同社は2024年4月24日および同年5月10日に同様の不具合を公表していたが、新たに10件の類似の不具合を発見したとしている。漏えいの可能性があるデータは2013年10月17日〜2024年6月10日にわたり不適切に閲覧された可能性がある。同社は、現時点では該当するデータの不正利用や二次被害は確認していないとしている。

数十万件が漏えいの可能性あり　　

　ウォンテッドリーは、情報漏えいの発生原因について、募集機能および会社紹介機能におけるアクセス設定に関する不具合および類似の不具合によるものとしている。

　漏えいした可能性がある情報は次のとおりだ。

• アクセス権限を持たない第三者に閲覧された可能性のある会社ページ数: 2万4435件
• アクセス権限を持たない第三者に閲覧された可能性のある募集記事数: 19万4733件
• アクセス権限を持たない第三者に閲覧された可能性のあるユーザー数: 20万578人

　漏えいした可能性のあるデータには会社ページもしくは募集記事の「メンバー」として登録されたユーザーの氏名や所属企業、職種、プロフィール画像、自己紹介文などが含まれている。

　なお、同社は2024年4月24日と同年5月10日に、募集機能および会社紹介機能におけるシステム設定不備による不具合について公表していた。システム設定の不備によりアクセス権限を持たない第三者が特定条件下において一部の募集記事および会社ページを閲覧できる状態にあり、同社はさらなる調査を実施するとしていた。

　新たに見つかった10件の不具合の内容は何か。未公開および削除された「募集記事」および「会社ページ」において公開設定になっていないブックマークやフォロー、募集への応募が可能になっていた。さらに特定のURLを入力することによって、アクセス権限を持たない第三者が閲覧できる状態だった。ウォンテッドリーは不具合に対応し、2024年6月11日までに問題を修正したとしている。

　同社は再発防止対策と今後の方針として、ソフトウェアの設計段階における開発ルールの見直しやセキュリティ対策に関する教育を強化すると説明している。外部業者による脆弱性診断を実施し、ネットワーク経路やデータベースの調査とセキュリティ強化施策を実施することで技術的な安全管理を強化するとしている。