| 会社名 | リスクモンスター株式会社 |
|---|---|
| 株式情報 | 上場 |
| 漏洩種別 | 流出 |
| 漏洩対象 | Web |
| 漏洩場所 | 社外 |
| 漏洩内容 | 氏名/会社名/部署 |
| 漏洩件数 | 250,000件 |
| 漏洩日時 | 2022/2/16~6/29 |
| 発表日時 | 2022/7/5 |
リスクモンスターにて検索エンジン上で個人情報が流出。同社の社員教育研修支援サービス「サイバックスUniv.」にて、システム連携用サーバーに格納されている登録者個人情報が検索エンジン上に表示され、一部ユーザからアクセス可能な状態となり個人情報が流出した。
サービス利用者から、インターネット上で自分の氏名や他の個人情報が閲覧できる旨の問い合わせがあり、確認したが同社では事象が再現できず、問合せ者に連絡したところ、Google 検索結果に個人情報が表示されることを確認した。しかし原因や影響範囲が不明であったため、社内調査を行い、当該サーバを停止し、ログイン機能を強化してサーバーのネットワーク履歴を調査した結果、2月からアクセス可能であったことが発覚。個人情報の流出が判明した。
その後の調査で、利用者からの問い合わせの際に、事象が再現できなかかったのは同一当該サーバでの別作業のために社外からのアクセス設定を不可に変更していたためであったことが判明した。今回の調査で、サーバに登録されてる約 25 万人の個人情報がインターネット上に表示された可能性があり、直近3カ月でGoogle 経由での本件サーバーへのアクセスが18件確認された。また、 5,934 人分の個人情報のダウンロード履歴が1件確認されているが、ダウンロード実施者は特定済で、すでに情報は削除されていることを確認した。
原因はサーバの環境変更の際のネットワーク誤設定によるもので、当該サーバはサイバックス Univ.のサブシステムで、セキュリティ対応の見直しをしておらず、チェック体制が不十分であった。同社は対象企業の管理者に今回の流出事案についてメールにて連絡を行った。
現時点では情報の第三者への流出は確認されていない。なお、住所や電話番号、メールアドレスなどの個人情報は当該サーバには登録されていないため流出はないとしている。