Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

「Omiai」はガイドラインを見落としたのか

不正アクセス事件 考えてみた。

コロナ禍の影響もあるのか、婚活市場ではマッチングアプリの利用者が拡大している様です。そんな中、累計会員数が600万人を超える「Omiai」が不正アクセスを受け、本人確認書類(個人情報)を約171万件漏えいした可能性があると発表しました。

mainichi.jp

 

公式発表

不正アクセスによる会員様情報流出に関するお詫びとお知らせ魚拓

(前略)

その後、不正送信の可能性がある通信ログを解析した結果、一部会員様(既に退会された旧会員様も含む)の年齢確認書類の画像データ4月20日~4月26日の間、数回にわたって外部に流出した可能性が高いことが判明しました。

 2. 対象となる情報
対象:2018年1月31日~2021年4月20日の期間に、当社へ年齢確認審査書類をご提出いただいた171万1千756件分(アカウント数)の年齢確認書類の画像データ。

年齢確認審査書類の主な種別:
運転免許証、健康保険証、パスポート、マイナンバーカード(表面)等
そのうち、全体の過半数となる約6割を運転免許証画像データが占めております。
※今回の対象データに個人番号(マイナンバー)1件が含まれている事を確認しております。これは、本来年齢確認審査書類として禁止しているマイナンバーカード裏面画像データが誤って当社へ提出された事によるものです。

情報項目:氏名・住所・生年月日・顔写真・年齢確認書類毎の登録番号の全5種

 

キタきつねの所感

データが漏えいさせてはいけない所の中に、マッチングアプリ運営事業者や結婚相談所が含まれるのは間違いないかと思います。当然の事ながら今回不正アクセス被害を受けた「Omiai」(ネットマーケティング社)も、セキュリティ対策は一般企業に比べて相当気を使っていたと思います。

しかし、そうした所であっても脆弱点を突かれると不正アクセスを許してしまうという事を改めて感じます。

事業者側に油断があったかは分かりませんが、公式発表を見るといつかの脆弱ポイントが垣間見れます。

 

以下過分に想像が含みます 。

 

まず気になったのが、「日付の差」です。公式発表ではデータが外部に持ち出された期間を4月20日~4月26日と公表しています。

4月20日~4月26日の間、数回にわたって外部に流出した可能性が高いことが判明しました。

 

しかし影響を受けたデータの範囲については、4月20日までとなっています。

対象:2018年1月31日~2021年4月20日の期間に、当社へ年齢確認審査書類をご提出いただいた171万1千756件分(アカウント数)の年齢確認書類の画像データ。

 

ここにギャップがあり、年齢確認書類(運転免許証、保険証、マイナンバーカード等)の画像データファイルサーバ(DB)に、仮に4月26日に侵害を受けたのであれば、最新の4月26日のデータ漏えいして”無かった”所に不自然さを感じます。

 

これだけでは、想像の域を出ないので、別な所を調べていくと、年齢確認書類の”審査”についてのヘルプ記載がありました。

ここを見ると画像審査はカスタマーサポートセンターで人的にチェックしていて、その審査時間は15分程度(最大1日)であると書かれています。

f:id:foxcafelate:20210522102043p:plain

 

この事から導き出せる(想像できる)のは、画像審査用のサーバは、今回侵害を受けた画像が格納されていたサーバ(DB)とは別であったのではないかという事です。

※これでもまだ日付のギャップは埋まりませんが、1週間経ったら、保管サーバに移動する様な運用だったとした場合、時系列の辻褄は合ってきます。

 

(この仮定が合っている場合)以下の様な運用だったのかなと思います。

1)画像申請(審査)サーバ(1週間保管)※カスタマーサポートが閲覧可

2)画像保管サーバ(3年程度保管)

 

余談となりますが、1件だけ本来あってはいけないマイナンバーカード裏面のデータが漏えい範囲の中に入ってます。審査前のデータなのかな・・・と思っていましたが、上の仮定通りだと、2)に紛れ込んでいる事になりますので、恐らくオペレータのミス(却下または削除せず、そのまま通してしまった)かと思います。

 

更に想像を膨らまして考えていきます。

今回侵害を受けた約171万件の年齢確認の為の書類(運転免許証等)ですが、何故保管しておく必要があったのか?という点がひっかかります。

 

マッチングアプリの特性上、年齢確認は法律で定められた義務となります。

2009年2月から施行された、通称「出会い系サイト規制法」に基づき出会い系サイトは18歳以上である事の確認が必要です。

※正式名称は「インターネット異性紹介事業を利用して児童を誘引する行為の規制等に関する法律」

elaws.e-gov.go.jp

 

この法令に基づいて、Omiai等の事業者では年齢確認審査書類を新規会員に提出させ、チェックしている訳ですが、法令の解釈基準では、その確認方法については、2つのやり方があるとしています。

この内の(ア)の手法として、Omiaiが運転免許証等の提出を求めている訳ですが、厳密には運転免許証等の表面全てを求めている訳ではありません

運転免許証、国民健康保険被保険者証その他の当該異性交際希望者の年齢
又は生年月日を証する書面の当該異性交際希望者の年齢又は生年月日、当該
書面の名称及び当該書面を発行し又は発給した者の名称に係る部分の提示
当該部分の写しの送付又は当該部分に係る画像の電磁的方法による送信を受
ける方法(施行規則第5条第1項第1号)

クレジットカードを使用する方法その他の児童が通常利用できない方法に
より料金を支払う旨の同意を受ける方法(施行規則第5条第1項第2号)

 

年齢確認が可能な情報以外がマスキングされた運転免許証で確認されたとしても法令違反という訳ではありません。一方でマッチングアプリの多くは電子的に提出する事を前提としているので、マスキングされる事によって、運転免許証画像を”加工”(使い回し)して成りすましを行う不正者(業者)がいた場合に、運営側がそれを見破りにくくなるリスクも高まります。

Omiaiは(会員の為に)精度の高い本人認証をする事を目的として、年齢確認書類(表面)全ての提出を要求しているのかと思います。

こうした厳格な確認ポリシーは、会員に対しては悪徳業者(サクラ)等が入り込みにくい事をPRできるかと思いますが、一方でその事により(機微な)個人情報も広く保有する事になるので、”漏えいした”場合の影響範囲が大きくなるデメリットもあります。結果から見るとOmiaiは少し”漏えい”想定が甘かった気がします。

 

漏えいしたデータからOmiaiは3年間保存するルールになっていたと推測されますが、こうした本人確認書類の保管期間について、「出会い系サイト規制法」には規定が無い様です。ここに今回の事件の影響が拡大した原因を感じます。

 

データ保管の縛りがないのであれば、上記1)の本人確認が終わった後に「削除してしまえば良い」様に思えますが、「出会い系サイト規制法」には少し気になる記述があります。

 

(報告又は資料の提出)
第十六条 公安委員会は、第七条から前条まで(第十二条第二項を除く。)の規定の施行に必要な限度において、インターネット異性紹介事業者に対し、その行うインターネット異性紹介事業に関し報告又は資料の提出を求めることができる

 

きちんと年齢確認を実施しているか、公安委員会から資料の提出を求められる事がある、と書かれています。

解釈基準を見ると、(素人的には)年齢確認を行った記録があれば報告条件を満たしている気もしますが、それで不十分だと言われた時に提出画像を消していると説明が難しいので、怖くて一定期間保存しておきたくなる・・・事業者の立場だったとすると、そう考えてしまうかも知れません。

 

この辺りは専門外ですし、想像が過分に入りますので、実際の所は分かりませんが、1つ言えるのは、仮に「怖くて取っておいた画像ファイル」であったとした場合、証跡としてしか残してないのに「未暗号」の状態で保管していた(様に思える)のは、やはり問題があったのではないかと思います。

マスター鍵で暗号化して保管していても良かったと思いますし、審査用と保管用にDBを分けるのであれば、保管が「オフライン」であっても良かった気がします。

 

データ保管に関して、例えばマイナンバーのFAQでは以下の様に、安全管理義務が必要である事、そして不要となった段階で速やかに削除する事が書かれています。

公安委員会の判断基準次第かと思いますが、仮に報告が発生した際に”不要”である証跡であれば、同様に速やかに削除すべきデータ(上記2)と言えるかも知れません。

f:id:foxcafelate:20210522115642p:plain

 

もう1つマイナンバーのFAQから引用しますが、前述の「暗号化」についても、安全管理措置の例示として触れられています。

f:id:foxcafelate:20210522120004p:plain

 

 

今回Omiaiから漏えいした可能性があるデータは、運転免許証が多かった(6割)様ですが、マイナンバーカードの情報も当然含まれていたかと思いますので、Omiaiの運営事業者であるネットマーケティング社は、こうしたガイドラインを見落としていた可能性を感じます。

警察庁の出している「出会い系サイト規制法」の”解釈基準”において、安全管理義務の辺りを改訂(あるいは他のガイドライン参照を明示)した方が、事業者もやるべき事が分かりやすいのではないかなと思います。

 

※5/23 PM追記

朝日新聞の記事では、「会員時のトラブルが後で発覚した場合などに備え、退会後も10年間は画像データを保存しておく規定になっているといい、すでに退会した人のデータも含まれる。」となっていますが、利用規約にはその事は書かれていない様です。

内規かも知れませんが、だとすると漏えいしたデータが10年前まで遡って漏えいしてない事に矛盾が発生します。3つ目のDBが存在するあるいは、2つ目のDBからバックアップメディアに移動した・・という事も考えられますが、いずれにせよ2つ目のオンラインで接続されたDBに何故”画像”を置いておかなければいけなかったのか、疑問が残ります。(内部の調査用であれば、外からアクセスできない所に置けば良い話だと思うのですが・・・)

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 マッチングアプリのイラスト

 

更新履歴

  • 2021年5月22日 AM
  • 2021年5月23日 PM 一部追記