「Omiai」不正アクセス調査結果公表 | ScanNetSecurity
2024.05.15(水)

「Omiai」不正アクセス調査結果公表

東証1部上場企業の株式会社ネットマーケティングは8月11日、5月21日に公表した同社運営の恋活・婚活マッチングアプリサービス「Omiai」への第三者からの不正アクセスによる会員情報の一部流出について、調査結果を発表した。

インシデント・事故 インシデント・情報漏えい
トップページ
トップページ 全 8 枚 拡大写真
 東証1部上場企業の株式会社ネットマーケティングは8月11日、5月21日に公表した同社運営の恋活・婚活マッチングアプリサービス「Omiai」への第三者からの不正アクセスによる会員情報の一部流出について、調査結果を発表した。

 今回の不正アクセスは、外部から同社APIサーバを介し、同社契約のクラウドサーバから4月20日から26日の期間、年齢確認書類画像データの不正取得が複数回にわたり行われた。調査結果によると、第三者が年齢確認書類画像データにアクセスするための情報を不正取得し、それを利用して当該画像データへのリクエストを大量生成する事で、不正アクセスに成功したことが判明した。

 年齢確認書類画像データへの不正アクセスが、マルウェア感染やシステムの脆弱性を突いたものではなく、正規のデータリクエストを装ったものであったため、4月28日の発見までに時間を要したという。

 流出したのは、2018年1月31日から2021年4月20日の期間に、会員が提出した171万1,756件分の年齢確認書類(運転免許証、健康保険証、パスポート、マイナンバーカード(表面)等)画像データで、5月21日の公表件数から変更はない。

 同社では既に、下記の再発防止策を実施している。

・外部ネットワークからのアクセスやリクエスト制限の厳格化
・アプリケーションの認証設定の見直し
・同社が保有する年齢確認書類画像データの保管場所の移動と暗号化
・システムや情報へのアクセス制御と権限の厳格化及びパスワードポリシーの強化
・サーバへのログイン認証の厳格化と監査証跡の強化
・社内エンドポイントへの定常的な動態調査基盤の導入
・社内ネットワーク及びサービスやコーポレートサイト等外部公開しているサービスに関する脆弱性診断の実施
・上記診断に基づくネットワーク構成及びアプリケーションの実装の見直しとセキュリティ強化
・年齢確認審査業務の厳格化及び安全性の向上を目的とする、外部のeKYC(electronic Know Your Customer)サービス導入

 また同社では、会員情報の保存期間について、現行は退会後一律10年間だったものを、12月1日から年齢確認書類画像データは同社提出後72時間(自動削除)に、会員の個人情報データは退会後90日間に変更を行う。

《ScanNetSecurity》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 範を示す ~ MITRE がサイバー攻撃被害公表

    範を示す ~ MITRE がサイバー攻撃被害公表

  2. 脆弱な DMARC セキュリティ・ポリシーを悪用、北朝鮮スピアフィッシング詐欺

    脆弱な DMARC セキュリティ・ポリシーを悪用、北朝鮮スピアフィッシング詐欺

  3. 東京メトロ社員が遺失者になりすまし、現金総額 235,458円 ほか遺失物着服

    東京メトロ社員が遺失者になりすまし、現金総額 235,458円 ほか遺失物着服

  4. 東急のネットワークに不正アクセス、連結子会社のファイルサーバでデータ読み出される

    東急のネットワークに不正アクセス、連結子会社のファイルサーバでデータ読み出される

  5. 「マルカワみそ公式サイト」に不正アクセス、カード情報に加えログイン用パスワードも漏えい

    「マルカワみそ公式サイト」に不正アクセス、カード情報に加えログイン用パスワードも漏えい

  6. ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

    ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

  7. TwoFive メールセキュリティ Blog 第14回「いよいよ6月、メルマガが届かなくなる…!? ~ メルマガ配信している皆さん ワンクリック購読解除の List Unsubscribe対応は済んでますか?」

    TwoFive メールセキュリティ Blog 第14回「いよいよ6月、メルマガが届かなくなる…!? ~ メルマガ配信している皆さん ワンクリック購読解除の List Unsubscribe対応は済んでますか?」

  8. テレ東「ヤギと大悟」公式 X アカウントが乗っ取り被害、意図しないポストが数件行われる

    テレ東「ヤギと大悟」公式 X アカウントが乗っ取り被害、意図しないポストが数件行われる

  9. ランサムウェア「LockBit」被疑者の資産を凍結し起訴

    ランサムウェア「LockBit」被疑者の資産を凍結し起訴

  10. 豊島のサーバにランサムウェア攻撃、復旧済みで業務に影響なし

    豊島のサーバにランサムウェア攻撃、復旧済みで業務に影響なし

ランキングをもっと見る