「200万人以上の情報が丸見え」報道の位置情報アプリ「NauNau」、調査結果を発表 300万人以上の現在地などが丸見えだった

[ITmedia]

　200万人以上のユーザーの位置情報やチャット履歴が外部から閲覧できた可能性があるとして、提供元による調査が進んでいた位置情報アプリ「NauNau」。提供元のSuishow（東京都品川区）と親会社のモバイルファクトリー（同品川区）は12月7日、調査で分かった、外部から不正に閲覧可能な状態だった情報を公開した。

NauNau（Suishow公式サイトから引用）

　アクセス可能だった時期と情報、影響囲の推定値は下記の通り。ただし、いずれも実際に情報が漏えいした事実は確認できなかったとしている。

• 2022年9月29日から2023年5月8日：推定304万ユーザーの現在地
• 2022年9月29日から2023年3月2日：推定167万ユーザーのチャット内容と画像
• 2022年9月29日から2023年10月20日：推定283万ユーザーの生年月日
• 2022年9月29日から2023年10月20日：推定380万ユーザーの個人情報に当たらない情報（アプリの起動回数など）
• 2022年10月22日午後8時34分から同58分：1万6753ユーザー分の過去の位置情報
• 2023年6月13日から2023年10月20日：グループで位置情報などを共有する機能の情報（カップル・家族のグループに所属しているか）5万3457ユーザー分。
• 2023年10月6日から2023年10月20日：特定アプリのインストール状況（恋人がマッチングアプリをインストールしているか判別する機能の情報）3万8070ユーザー分

　2社によれば、NauNauに使っているクラウドサービスのセキュリティ設定にミスがあり、「SSL／TLS（データを暗号化して送受信する仕組み）を利用したモバイルアプリの通信を傍受し解析する知識と、クラウドサービスのAPIへのリクエストを組み立てるための知識」があれば、データベースに不正にアクセスできる状態だったという。

　調査は情報セキュリティ事業を手掛けるデジタルデータソリューション（東京都港区）やGMO サイバーセキュリティ by イエラエ（東京都渋谷区）などと行った。モバイルファクトリーとSuishowは調査結果を受け、再発防止策を策定中。並行して、中止しているサービスの提供の再開時期も検討しているという。

　NauNauは、位置情報や歩数などを友人同士で共有できるアプリ（iOS／Android）。リリースは2022年10月で、23年2月にサービスを終了した位置情報アプリ「zenly」の代替として、若年層を中心にユーザーを獲得していた。

閲覧可能だった情報