ITmedia NEWS > セキュリティ >
セキュリティ・ホットトピックス

個人情報流出の「Omiai」、データ管理ポリシー変更で再発防止へ 従来は免許証画像など10年保存

» 2021年08月12日 17時50分 公開
[荒岡瑛一郎ITmedia]

 2021年4月に婚活マッチングサービス「Omiai」の会員情報約171万件が流出した問題で、運営元のネットマーケティング(東京都港区)は8月11日、調査結果と再発防止策を発表した。従来は運転免許証などの年齢確認書類データをユーザー退会後10年間にわたって保存するポリシーだったが、ユーザーの提出から72時間で自動削除するよう改める。

 調査によると、4月20〜26日にかけて同社APIサーバを経由して、クラウドサーバに保存した年齢確認書類データが複数回にわたって第三者に取得された。「第三者が年齢確認書類画像データにアクセスするための情報を不正取得し、画像データへのリクエストを大量生成することで、不正アクセスに成功した」と同社は説明している。

不正アクセスの経路

 マルウェア攻撃やシステムの脆弱性を突いた不正アクセスではなく、正規のデータリクエストを装っていたため発見が遅れたという。不正取得されたという「年齢確認書類画像データにアクセスするための情報」の種類や認証方式については「セキュリティに関わることなので回答できない」(同社)としている。

 流出を確認したのは、運転免許証、健康保険証、パスポート、マイナンバーカード表面などの画像データ171万1756件。このうち9割超が運転免許証、健康保険証の画像データという。8月11日時点で2次被害などの発生は確認していない。

 再発防止策として、外部ネットワークからのアクセス/リクエスト制限の厳格化や、アプリケーション認証設定の見直しなどを実施。また、これまでは年齢確認書類データを暗号化せず、ユーザーの退会後10年間にわたって保存するポリシーだったが、12月1日にデータ管理ポリシーを変更。年齢確認書類データはユーザーの提出から72時間で自動削除し、会員の個人情報は退会後90日で削除するよう改める。

 流出が明らかになった約171万件のデータは、2次被害の確認などに用いるため、当面は暗号化した上で外部インターネットから遮断されたサーバに保管する。同社が保管の必要がないと判断した時点で速やかに削除するとしている。

再発防止策(公式サイトより引用)

Copyright © ITmedia, Inc. All Rights Reserved.