平素は、株式会社モバイルファクトリーのサービスをご利用いただきまして誠にありがとうございます。
このたび、2017年11月8日(水)~2017年11月30日(木)の期間において、当社の社内用の管理画面の設定不備より、当社の「駅奪取 PLUS」(以下、「駅奪取 PLUS」)のユーザ様の情報を含む一部情報が社外から閲覧できた事象(以下、「本件」)が発生していたことが判明いたしました。
管理画面から閲覧できた情報は、一部のユーザ様の位置登録情報を含む情報が含まれており、当社は本件事態を深刻に捉えております。
関係者の皆様に深くお詫びするとともに、本件に関する経緯及び対応について、以下のとおりご報告申し上げます。
※ 「駅奪取PLUS」は当社が株式会社コロプラの提供する位置情報サービスプラットフォーム「コロプラ」上に配信している位置情報連動型ゲームです。
※ Google Play、App Store、Mobage及びGREE向けの「駅奪取」、及び「ステーションメモリーズ!」「レキシトコネクト」等の当社の他ゲームタイトルや他サービスについて同様の事象はございません。
※ 直ちに経済的被害につながるような情報の第三者閲覧はございません。(管理画面には、氏名・クレジットカード情報・住所・電話番号は記録・保管しておりません。)
※ ユーザ様のログインIDならびにパスワードの第三者閲覧はございません。
※ 今回の第三者閲覧に際して情報の書き換え・編集はございません。(調査により、情報の書き換え・編集を示すログが無かったことを確認しております。)
記
1.本件事象の概要
本年11月30日17:02頃、「駅奪取PLUS」のユーザ様よりお問い合わせを受け調査をいたしましたところ、「駅奪取PLUS」の管理画面がwebの検索結果で表示され、外部から閲覧できる状態にあったことが判明いたしました。当社では、本件判明以降、管理画面への外部からのアクセスを防ぐ対策を進め、同日17:23に管理画面への外部からのアクセスを遮断し、翌12月1日08:40頃にwebの検索結果に表示されなくなったことを確認しております。
2.外部から閲覧された内容とアクセス回数
内容 | 影響範囲 |
位置登録情報を閲覧されたユーザ数 (最長で過去3ヶ月分 2017年09月~11月) | 18ユーザ |
位置登録情報を含まない、ゲーム上でユーザ自身にしか閲覧できない情報 (駅の奪取履歴、アイテム購入履歴、所有ニャッシュ一覧、称号一覧、スコアなど) を閲覧されたユーザ数 |
108ユーザ (上記18ユーザも含む |
総課金額が見られた可能性があるユーザ数 | 推定3650ユーザ(※) |
ユーザ固有の情報を含まない統計情報やゲーム上での設定情報 (お知らせ、イベント詳細設定、アイテム設定、ガチャ設定、路線情報、駅情報など) の情報の閲覧数 |
1051アクセス |
(※) リアルタイムで変動する統計情報(スコア等のランキング)の一部に総課金額が含まれておりました。状況を再現して正確なユーザ数を特定することが困難であるためランキングの種類数及び閲覧履歴ページ数から推測しております。
3.これまでの経緯
11月30日 17:02 ユーザ様より当社に連絡が入り、状況確認と対策を開始
11月30日 17:23 管理画面への外部からのアクセスを遮断
11月30日 20:10 webの検索結果に管理画面が表示されないように削除を依頼
12月01日 08:40 webの検索結果に管理画面が表示されなくなったことを確認
12月01日 09:51 第三者から閲覧されたユーザ情報とアクセス回数の特定作業を開始
12月01日 15:21 閲覧されたユーザ情報の概要を把握
12月05日 09:46 ユーザ固有情報のアクセス回数の特定作業を完了
12月14日 14:25 全アクセスログの精査を完了
12月18日 15:00 個人情報保護委員会へ本件について報告
12月18日 18:00 本報告書を開示
4.本件の原因
- [前提]管理画面に至るURL(FQDN)は、2つ存在しており、外部から閲覧できる状態にあった管理画面はそのうちの1つでした。
- [原因]11月08日にアクセス管理機構の刷新を行いましたが、両URL(FQDN)に対して行うべきセキュリティ措置を片方にしかしていませんでした。
- [原因]その状態のまま旧アクセス管理機構を停止したため、結果的に2つ存在したURL(FQDN)のうち、片方が外部からのアクセスが可能な状態となっておりました。
5.「駅奪取PLUS」ユーザ様への対応
-
「駅奪取PLUS」ユーザ様のメインページ上部より、ご自身の情報が閲覧されたか否かをご確認頂けます。
- 今回の事態によって、情報閲覧可能性のあるユーザ様はいうまでもなく、多くのユーザ様にご迷惑をおかけすることになってしまったことに関するお詫びとして、管理画面への外部からのアクセスを遮断した時点(11月30日 17:23)より前にユーザ登録を行った全ユーザ様へ、「駅奪取PLUS」内で使用できるアイテムを配布させて頂きました。
- 本件に関する専用のユーザ様相談窓口を本日より設置し、ご要望等がございましたら法律の専門家が対応に当たらせていただきます。なお、お問い合わせ方法につきましては、電話およびメールにてお問い合わせの受付をおこないます。
【本件専用ご相談窓口】
TEL: 050-3187-8399
受付時間(平日)10 時30分 ~17 時30分
【上記受付時間以外のお問い合わせ先】
E-mail: ekidash_soudanmadoguchi@mfac.jp
6.再発防止策
株式会社モバイルファクトリーでは、今回の事態を厳粛に受け止め、管理画面のセキュリティ対策が不十分であったことを反省し、下記の再発防止策を実施し個人情報等の管理ならびに情報セキュリティ管理体制の一層の強化をはかり、再発防止に努めてまいります。
- ネットワークレベルで管理画面に到達できない設計に変更
- 管理画面では認証に加えて認可をおこなう仕組みの構築
- 管理画面に対する不正アクセス検知の仕組みの検討
この度は、ユーザ様及び関係者の皆様に多大なるご迷惑とご心配をおかけ致しましたことに改めて深くお詫び申し上げます。なお一層のセキュリティ対策強化、従業員教育の徹底等を図り、社を挙げて再発防止に努めて参ります。
7.業績への影響
本件による業績への影響は軽微であると認識しております。
以上