お問い合わせ
2024年7月30日にウォンテッドリー株式会社が、提供するビジネスSNS「Wantedly」のシステム設計不備により、情報漏洩の可能性があると発表しました。
さらなる調査で類似の不具合を確認したことも発表されています。本件での情報漏洩は約20万名にもなるとのことです。
本記事では、公式リリースや報道記事を参考に専門家観点でまとめています。
目次
ビジネスSNS「Wantedly」にアクセス設定の不具合
2024年4月24日にウォンテッドリー株式会社は、提供するビジネスSNS「Wantedly」にシステム設定の不備により、第三者が特定条件下において一部の募集記事、および会社ページを閲覧できる状態にあったことが判明したことを発表しました。
詳細には、2024年4月10日にシステム保守作業において、未公開および削除された「募集記事」および「会社ページ」が、当該記事のURLを入力することによりアクセス権限を持たない第三者によって閲覧できる状態となっていることが判明し、直ちに正しいアクセス設定を行い、2024年4月11日午後3時までに対処を完了したとのことです。
ウォンテッドリーの調査によるさらなる不具合の発覚
ウォンテッドリーでは、本不具合のほかにも類似の不具合を確認したため継続的に調査を進めた結果が2024年7月30日に発表されました。
発見された類似の不具合に関しては、未公開および削除された「募集記事」および「会社ページ」において、公開範囲を超えてブックマークやフォロー、募集に対する応募が可能であり、また特定のURLを入力することによりアクセス権限を持たない第三者によって閲覧できる状態となっていることが判明したとのことです。
こちらも全てシステムの設計ミスである事が判明しており、対処を完了しているそうです。
ウォンテッドリーから漏洩した可能性のある情報
2013年10月17日〜2024年6月10日の間、アクセス権限を持たない第三者に、以下の会社ページもしくは募集記事の「メンバー」として登録されたユーザー情報が漏洩した可能性があると発表されています。
- 会社ページ数は 24,435件
- 募集記事数は194,733件
- ユーザー数は200,578名
- ユーザーの氏名
- 所属企業・職種
- プロフィール画像
- キャッチコピー・好きな言葉
- 自己紹介文
- 地域
- その他、募集記事及び会社ページ上に記載のあった内容
現時点において当該情報の不正利用に関する報告や問い合わせはなく、二次被害は確認されていないとのことです。
再発防止に向けたウォンテッドリーの対策
ソフトウェアの設計において、開発ルールの見直しやセキュリティ対策に関する教育を継続して行う。また、運用面においてもセキュリティ運用ルールを見直し、徹底した安全管理対策を実施していくと発表がありました。
さらに、外部業者による脆弱性診断を行い、ネットワーク経路およびデータベースに対する調査・アドバイスに加えて、セキュリティ強化施策を実施するなど、技術的な安全管理を強化するとのことです。
定期的な脆弱性診断の必要性
ウォンテッドリーの件のように、長い期間に情報漏洩の可能性に気付けなかったのは定期的な脆弱性診断を行っていなかったと考えられます。
定期的な診断を行わなければ、機密情報や個人情報の漏洩があった場合、それを放置することになります。さらに、外部からアクセスできる状態を放置していれば、WEBサイトやデータの改ざん、マルウェア、ランサムウェアなどの感染に繋がってしまいます。
また、自社でセキュリティをチェックしていたとしてもチェック項目が更新されていないのものであったり、最新の脆弱性に対応していないなどの可能性もありますので、脆弱性診断を行う際は外部のフォレンジック調査会社に脆弱性診断を依頼しましょう。
脆弱性:ITにおける脆弱性は「情報セキュリティ上の欠陥」を指します。
PCやサーバー、スマートフォンなどのOSやソフトウェアで、プログラムの不具合や設計上のミスにより発生する情報セキュリティ上の欠陥で、脆弱性が残された状態で機器を利用することは、サイバー攻撃により、不正アクセスや、ウイルス感染してしまうといった多くの脅威や危険性があります。
セキュリティ強化のための脆弱性診断のご相談や、実際に情報漏洩が起きた、サイバー攻撃を受けた場合にはフォレンジック調査専門業者に相談することをお勧めします。
フォレンジック調査とは
フォレンジック調査とは、サイバー攻撃、情報漏えい、データ改ざんなどのセキュリティ関連インシデントが発生した際に、その原因を特定し、被害の範囲や影響を明らかにするための詳細な調査手法です。
もともとフォレンジック調査は、犯罪や事件が起きた時、その現場から犯行の手掛かりとなる「鑑識」を指していました。特にデジタルデータからの証拠収集・分析は「デジタル鑑識」あるいは「デジタル・フォレンジック」とも呼ばれます。
インシデントが起きた場合、特定の機関に報告義務が発生する場合があります。自社だけの調査では、調査報告をしても認められない場合があり、第三者機関で調査を行うのが一般的です。
私たちデジタルデータフォレンジック(DDF)には、官公庁、上場企業、捜査機関等を含む幅広いインシデントに対応実績があり、IPAからも承認を得ています。
相談や見積もりを無料で受け付けています。いつでも対応できるよう、24時間365日体制でご相談を受け付けておりますので、まずはお気軽にご相談ください。
\相談から最短30分でWeb打ち合わせを開催/
DDFは累計ご相談件数3.2万件以上のフォレンジック調査サービスです
まとめ
今回の記事では、ウォンテッドリー株式会社が提供サービスのシステム設計不備により情報漏洩があった件について、専門家観点で解説しました。
システム設計の不備などは普段の業務で気付くことは困難です。システムの脆弱性診断を検討している場合はフォレンジック調査会社に相談してみましょう。
脆弱性や、情報漏洩について詳しく書いている記事もありますのでお読みください。
関連記事
この記事を書いた人
デジタルデータフォレンジック
エンジニア
