株式会社Brave groupは7月31日、6月25日に公表した同社グループが運営するオーディションでの個人情報流出について、調査結果を発表した。
同社グループで利用している Googleドライブ で管理するファイルにて、同社グループである株式会社バーチャルエンターテイメントの「ぶいすぽっ!JP オーディション」の応募者用Google Form に回答された内容が、同Formの「編集用URL」を知る第三者が閲覧可能な状態であったことが6月25日に判明していた。
同社によると、対象のオーディションにおけるGoogle Formsの編集用URLの閲覧範囲は「このリンクを知っているインターネット上の全員が閲覧できます」と設定されており、編集用URLを知っていれば誰でもアクセスし個人情報を閲覧できる状態であったが、オーディション応募フォーム上に掲載されているURL(回答用URL)とは別のもので、回答用URLから編集用URLは容易に推察できるものでなかった。ユーザが該当のフォームで閲覧・回答を行い、自身のGoogleアカウントのGoogleアプリからフォームに移動した際に、「最近使用したフォーム」の欄に回答したフォームが表示され、そこから申込者の情報が閲覧可能な画面に遷移が可能となっていたという。
同社で外部機関による調査を依頼した結果、外部からの意図しないアクセスが発生した2024年6月4日当時、Google Formsの予告・通知のない仕様変更で回答用URL から編集用URLを特定可能となる手法が存在していた可能性が高いことが判明したとのこと。なお、本事象は2024年6月4日前後から発生したと推定され、2024年6月26日時点では既に再現ができなくなっていたことも確認している。
同社では以上の経緯から、2024年6月4日から該当フォームの閲覧制限を行った2024年6月25日の期間、意図していない外部の第三者が閲覧できる状況であったとしている。
同社では当該インシデントと類似したケースを想定し、同社グループ内のGoogleドキュメント全般について、外部の第三者からの意図しないアクセスがないか、外部機関によるアクセスログの調査を実施したところ、第三者からの意図しないアクセスが確認されるのは、既に公表している下記の4つのGoogle Formsのみであることを確認している。
「ぶいすぽっ!JP オーディション」:約7,000件
「Brave group総合オーディション」(グローバル向けの「Brave group総合オーディション」を含む):約4,749件
「HareVare VLiverオーディション」:約1,043件
「ぶいすぽっ!切り抜き動画」のチャンネル許諾申請用Google Forms:2件
同社グループでは、同社グループ内全てのGoogle Workspaceにて作成されたGoogle Formsを洗い出し、権限を「制限付き」(同社のドメインによるアクセス又は同社の許可がなければアクセスできない)に変更している。
同社グループでは今後、2024年9月を目処に下記の再発防止策を実施するとのこと。
1.ファイル共有設定・権限の見直しによる制御
Google Formsを含む全てのGoogle Workspaceサービスについて、「リンクを知っている全員への共有」等、アクセス制限がない公開設定を無効化することで外部共有の制御を実施
2.個人情報の取り扱いルールの整備・運用
個人情報に関する管理体制の強化、規程やルール等の見直し及び社内への周知を徹底し、個人情報を含めた情報管理に関する役員及び全従業員の意識の向上に取り組む
3.オーディション等の個人情報が含まれるアンケートにおける外部サービス利用の検討
個人情報を含む情報を取得するアンケートにおいては、Google Formsではない、メンバーを限定した利用が可能な外部サービスの利用を検討