株式会社Brave groupは6月25日、同社グループである株式会社バーチャルエンターテイメントの「ぶいすぽっ!JP オーディション」での個人情報流出の可能性について発表した。
クボタクレジットの委託先のイセトーにランサムウェア攻撃、61,424名の利用明細が漏えい
これは同社グループで利用している Googleドライブ で管理するファイルにおいて、「ぶいすぽっ!JP オーディション」の応募者用Google Form に回答された内容が、同Formの「編集用URL」を知る第三者が閲覧可能な状態であったことが6月25日に判明したというもの。編集用URLはオーディションサイト上で一般公開されていた状態ではなく、何らかの形で流出した可能性が高いという。
同社で、社内の問い合わせ内容の再確認をしたところ、6月18日午前11時23分と6月25日午後4時28分に2名の方からぶいすぽっ!公式XのDMのリクエスト欄に問い合わせがあったが、DMのリクエスト欄における問い合わせであったことから同社グループ内での確認が遅れ、6月25日午後5時1分に問い合わせのあった1名の方によるX投稿が話題に上っていることが6月25日午後5時15分に判明し、同社グループ内で把握に至った。
同社では現在、調査を進行しているが、Brave groupの運営する「Brave group総合オーディション」、株式会社ENILISの運営する「HareVare VLiverオーディション」でも同様の個人情報流出の可能性が判明している。
情報流出の可能性があるのは、それぞれ下記の個人情報。
・「ぶいすぽっ!JP オーディション」
1.閲覧可能な状態にあった回答内容の件数:約7,000件
2.漏えいの対象者:「ぶいすぽっ!JP オーディション」応募者
3.発生した可能性のある期間:2024/6/4 20:05~2024/6/25 17:50
4.閲覧可能な状態にあった個人情報の項目:氏名、都道府県、電話番号、生年月日、使用SNS、志望動機など
・「Brave group総合オーディション」
1.閲覧可能な状態にあった回答内容の件数:約2,610件
2.漏えいの対象者:「Brave group総合オーディション」応募者
3.発生した可能性のある期間:2024/6/4 19:40~2024/6/25 17:50
4.閲覧可能な状態にあった個人情報の項目:氏名、都道府県、電話番号、生年月日、使用SNS、志望動機など
・「HareVare VLiverオーディション」
1.閲覧可能な状態にあった回答内容の件数:約1,043件
2.漏えいの対象者:「HareVare VLiverオーディション」応募者
3.発生した可能性のある期間:2024/6/4 20:16~2024/6/25 17:50
4.閲覧可能な状態にあった個人情報の項目:氏名、都道府県(入力があった場合は住所も)、電話番号、生年月日、使用SNS、志望動機など
同社では、対象者にメールにて連絡を行い、被害状況を確認の上で個別事象に対し補填を行う。電話番号変更にかかる費用については同社で負担する。同社グループのオーディション応募のフォームでは、所在の都道府県のみの記載を案内していたが、すべての住所を記載してしまった応募者については引っ越し費用の負担など、具体的な状況に応じて可能な限り対応する。
同社によると、Google formの編集用URLの閲覧範囲が「このリンクを知っているインターネット上の全員が閲覧できます」に設定されていたため、編集用URLのリンクを知っていれば誰でも個人情報を閲覧できる状態であったが、オーディション応募フォーム上に掲載されているURL(回答用URL)と、回答内容が確認できるURL(編集用URL)は別のものとなっており、個人情報を閲覧できるURLはオーディションページ上で一般公開されていなかった。
同社によると、編集用URLにアクセスできる可能性としては下記の3つが推測でき、現在は調査を行っている。
・第三者から編集用URLについて管理者宛に編集権限のリクエストが届き、それを何らかの理由で許可してしまった可能性。
※2024/6/25 17:15に確認したところ、同社グループ外の特定のユーザーに編集権限が付与されていた事象は確認されず、この可能性は低い。
・何らかの理由で同社グループ内より編集用URLが第三者に漏えいし、当該第三者から編集用URLの情報流出が拡大してしまった可能性。
・不正アクセスにより編集用URLが流出してしまった可能性。
同社では今後、監督官庁に報告するとともに、情報セキュリティおよび情報管理の強化に努めるとのこと。
