今回はOmiaiの会員情報流出事件についてです


解説動画はこちら



会員情報流出事件

さて
マッチングアプリ「Omiai」は会員数が延べ
600万人と国内有数のマッチングアプリです。


そんな恋活・婚活マッチングアプリ
「Omiai」を管理するサーバーに対し
外部からの不正アクセスを受け
会員情報の一部が流出した可能性が
高い事が判明したそうです。

今のところ、不正利用などの
被害は確認されていないそうですが・・・



流出対象の会員情報

対象:2018年1月31日
~2021年4月20日の期間(3年分ちょい)
171万1千756件分の年齢確認書類の画像データ

年齢確認審査書類の主な種別:
運転免許証、健康保険証、パスポート
マイナンバーカード(表面)等
そのうち、全体の過半数となる約6割を
運転免許証画像データが占める

マイナンバーは取っていなかったんだけど
会員さんがマイナンバーを含む画像を
誤って送って来てしまったので
それが流出しちゃった(ゴメンね)

結構エグいですよねーーーー
免許証のデータが流出しちゃうとか
管理方法はどうなっているんだって
思いますよね。


事件の経緯

2021年4月28日15時頃:
「Omiai」サービスの会員情報を
管理するサーバーにおいて
意図されていない挙動が観測

画像データに対する不正アクセスの痕跡を発見

特定可能な不正アクセス者のIPを速やかに遮断
ネットワーク制限を強化するなどの対処を行う

外部専門会社の協力の下
フォレンジック調査および
更なる監視体制の強化を図り
システム全般面の第三者検証も同時に開始

サービス内で利用されている
他の情報についてもアクセス制限を強化



流出の原因は?

恐らくですが
・アクセスポイントやID、PASSが流出していた
・第三者がアクセスできる状態にあったこと

こういうことなんだろうと思いますね。
一応運営側の言い分がありました。

「これは言い訳になってしまうかもしれませんが
この不正アクセスの痕跡を確認したのが
ゴールデンウィークの直前で

さらには当社では新型コロナウイルス感染症の影響で
リモートワークを進めていたことなどもあり
結果的に発表までに時間を要してしまいました」


対策

やはり
個人情報を扱う場合は
外部との接触ポイントを極力抑える

個人情報取り扱い業者のリモートワークは
そもそも危険なのではないかということ

定期的にID,PASSの管理、チェックを行う
最低限の努力はしないといけないですね。



そもそもなんで本人確認が必要なのか

インターネット異性紹介事業を利用して
児童を誘引する行為の規制等に関する法律
通称「出会い系サイト規制法」

異性と出会うことを目的とした
マッチングアプリなどのサービスの運営を
開始する際には、インターネット異性紹介事業の
届出を行うことを法律で義務付けられているからです

そしてマッチングアプリの運営は
「インターネット異性紹介事業」にあたり

インターネット異性紹介事業者には
18歳未満の児童の利用を確実に阻止するための
厳格な年齢確認の義務が課されています

運転免許証や国民健康保険被保険者証など
生年月日と年齢が記載された
公的な本人確認書類を受け取る、か

クレジットカードなど一般的に18歳未満の児童が
利用できない方法でのみ支払いを可能にする

という対策をしないといけないようです。



マッチングアプリを開発・運営するなら

インターネット異性紹介事業者の
登録を行わないといけない

公的な本人確認書類をユーザーから
受け取って確認しないといけない

売春防止法違反の幇助の疑いでも逮捕される

セキュリティー面や法律面の問題を
全てクリアしながら開発しないといけないので
かなりハードルが高い!!!!!!
(非出会い系アプリでも判断されるとアウト)


いやーー婚活したいので
マッチングアプリでも使ってみるかーとか
思っていたらこの事件ですよーー

くーーー
二の足を踏んでしまいますねえ
 
安心安全を求めるなら
自分たちで作るしかないのか
マッチングアプリ!!!


今回はこれまでです
それでは