画像:【連結子会社ライクアカデミー】不正アクセスによる個人情報流出の可能性について/ライクアカデミー株式会社より
ライクアカデミー株式会社は2020年2月10日、同社が運営する保育園向けの連絡アプリ「ナナポケ」のテスト環境に外部からのサイバー攻撃が確認され、データベースに登録されていた個人情報などが流出した可能性があると明らかにしました。
インシデントは2020年1月23日、同社が「ナナポケ」の開発を委託する企業から「開発中に外部からの不正アクセスが確認された」と通報を受けたことにより発覚。同社が外部アクセスを遮断したうえで調査専門会社に調査を依頼したところ、2020年2月10日までに園児・保護者合計6,693名分の個人情報に流出の可能性があると判明しました。
同社は現在、被害者らに対して「インシデント発生により、対象者らに身に覚えのない郵便物などが届く可能性がある」と警告しています。
システム内の脆弱性が原因か
ライクアカデミー社は、インシデントの原因として「システムに内在していた脆弱性」などを指摘しています。
被害を受けたデータベースは「ナナポケ」テスト環境のものですが、委託先企業は構築段階で外部アクセス可能な環境にしていたとのこと。またデーターベースへアクセスに必要なパスワードが安易なものであったほか、個人情報のマスク処理が不十分であったなど、複数の要因を指摘しています。
被害情報や再発防止策は?
ライクアカデミー社が公開した被害情報は、次の通りです。
| 流出可能性のある対象者 | 件数 | 内訳 |
|---|---|---|
| 保護者 | 2,939名 | 氏名・電話番号 |
| 園児 | 3,754名 | 氏名・郵便番号ほか一部の住所・建物名・生年月日・性別・入退園日 |
また、同社は再発防止策として、今後はセキュリティの脆弱な企業に個人情報に関係する委託を実施しないようセキュリティ要求事項の見直しを設定。さらに委託先企業に対しても、個人情報管理に対する意識を徹底すると発表しています。
