未然に防ぐのは厳しい?「ぶいすぽっ!」での情報流出問題、原因は“グーグルの予告なき仕様変更”の可能性 調査結果で判明
Brave groupは7月31日、VTuberグループ「ぶいすぽっ!」など複数のオーディション企画で個人情報流出事案についての詳細調査結果や再発防止策を公表した。
6月25日に公表された初期調査では、個人情報流出は6月4日から6月25日の間に発生し、漏洩した情報には氏名、電話番号、生年月日などが含まれていた。
最新の調査結果によると、問題はGoogle Formsの設定不備により発生し、具体的には編集用URLの制限設定がなかったため漏洩が発生した。
Brave groupは7月31日、VTuberグループ「ぶいすぽっ!」など複数のオーディション企画で発生していた個人情報流出事案について、より詳しい調査結果や再発防止策を公表した。
6月25日に公表していた初期調査によると、本事案は6月4日から6月25日の期間に、応募者の個人情報が応募フォームを通じて閲覧可能だったことで発生していたことがわかっており、対象の回答件数は「約7,000件+約2,610件+約1,043件」対象期間は「6月4日~25日」で、氏名や電話番号、生年月日などが漏洩対象となっていた。
この問題について、最新の調査発表では、募集に使用していた「Google Forms」の編集用URLの設定不備により発生した事業の詳細を報告。フォームの閲覧範囲が「このリンクを知っているインターネット上の全員が閲覧できます」と設定されていたため、編集用URLを知る者であれば誰でも個人情報を閲覧できる状態にあったも説明した。
さらに、この問題について、回答用URLから編集用URLを特定可能となる手法が存在していたこと、そして、「Google Formsの予告・通知のない仕様変更」が行われていた可能性が高いことも判明した。また、6月26日時点では既にこの手法は再現不可能で、検証に影響を与えたという。
同時に再発防止策として、Google Workspaceサービスで、アクセス制限のない公開設定を無効化することや、社内の意識向上に取り組むとしている。また、個人情報を含むアンケートにおいては、Google Forms以外の外部サービス利用を検討するとして、今後は独自フォームまで受け付ける予定。
また、発表時点においては「不正使用などの被害が発生した事実は確認されておりません」と被害状況を説明しつつも、漏洩対象となる電話番号や住所の変更は「やむを得ず生じた費用と認められる範囲内において」補償するとも以前に発表している。
