東証1部上場企業の株式会社ネットマーケティングは8月11日、5月21日に公表した同社運営の恋活・婚活マッチングアプリサービス「Omiai」への第三者からの不正アクセスによる会員情報の一部流出について、調査結果を発表した。
今回の不正アクセスは、外部から同社APIサーバを介し、同社契約のクラウドサーバから4月20日から26日の期間、年齢確認書類画像データの不正取得が複数回にわたり行われた。調査結果によると、第三者が年齢確認書類画像データにアクセスするための情報を不正取得し、それを利用して当該画像データへのリクエストを大量生成する事で、不正アクセスに成功したことが判明した。
年齢確認書類画像データへの不正アクセスが、マルウェア感染やシステムの脆弱性を突いたものではなく、正規のデータリクエストを装ったものであったため、4月28日の発見までに時間を要したという。
流出したのは、2018年1月31日から2021年4月20日の期間に、会員が提出した171万1,756件分の年齢確認書類(運転免許証、健康保険証、パスポート、マイナンバーカード(表面)等)画像データで、5月21日の公表件数から変更はない。
同社では既に、下記の再発防止策を実施している。
・外部ネットワークからのアクセスやリクエスト制限の厳格化
・アプリケーションの認証設定の見直し
・同社が保有する年齢確認書類画像データの保管場所の移動と暗号化
・システムや情報へのアクセス制御と権限の厳格化及びパスワードポリシーの強化
・サーバへのログイン認証の厳格化と監査証跡の強化
・社内エンドポイントへの定常的な動態調査基盤の導入
・社内ネットワーク及びサービスやコーポレートサイト等外部公開しているサービスに関する脆弱性診断の実施
・上記診断に基づくネットワーク構成及びアプリケーションの実装の見直しとセキュリティ強化
・年齢確認審査業務の厳格化及び安全性の向上を目的とする、外部のeKYC(electronic Know Your Customer)サービス導入
また同社では、会員情報の保存期間について、現行は退会後一律10年間だったものを、12月1日から年齢確認書類画像データは同社提出後72時間(自動削除)に、会員の個人情報データは退会後90日間に変更を行う。
今回の不正アクセスは、外部から同社APIサーバを介し、同社契約のクラウドサーバから4月20日から26日の期間、年齢確認書類画像データの不正取得が複数回にわたり行われた。調査結果によると、第三者が年齢確認書類画像データにアクセスするための情報を不正取得し、それを利用して当該画像データへのリクエストを大量生成する事で、不正アクセスに成功したことが判明した。
年齢確認書類画像データへの不正アクセスが、マルウェア感染やシステムの脆弱性を突いたものではなく、正規のデータリクエストを装ったものであったため、4月28日の発見までに時間を要したという。
流出したのは、2018年1月31日から2021年4月20日の期間に、会員が提出した171万1,756件分の年齢確認書類(運転免許証、健康保険証、パスポート、マイナンバーカード(表面)等)画像データで、5月21日の公表件数から変更はない。
同社では既に、下記の再発防止策を実施している。
・外部ネットワークからのアクセスやリクエスト制限の厳格化
・アプリケーションの認証設定の見直し
・同社が保有する年齢確認書類画像データの保管場所の移動と暗号化
・システムや情報へのアクセス制御と権限の厳格化及びパスワードポリシーの強化
・サーバへのログイン認証の厳格化と監査証跡の強化
・社内エンドポイントへの定常的な動態調査基盤の導入
・社内ネットワーク及びサービスやコーポレートサイト等外部公開しているサービスに関する脆弱性診断の実施
・上記診断に基づくネットワーク構成及びアプリケーションの実装の見直しとセキュリティ強化
・年齢確認審査業務の厳格化及び安全性の向上を目的とする、外部のeKYC(electronic Know Your Customer)サービス導入
また同社では、会員情報の保存期間について、現行は退会後一律10年間だったものを、12月1日から年齢確認書類画像データは同社提出後72時間(自動削除)に、会員の個人情報データは退会後90日間に変更を行う。
