2021年5月21日に公表された、東証一部上場の株式会社ネットマーケティングが運営する婚活アプリ「Omiai」における、本人確認書類の大量流出事件について続報が出ましたので分析してみました。
その結果、アクセス制御が不適切だったために「信頼されるネットワーク」からのみ接続されるべきルートを、悪意の第三者に利用された結果、事件が発生した事が判りました。
<システム構成図及び不正アクセス経路> 株式会社ネットマーケティングのサイトより
下のアプリの方から上の信頼されるネットワークのみが接続すべきウェブフロントに線が引かれている事が判ります。本来、ここは絶対にあってはならない接続ルートになります。
通常であれば適切にアクセス制御を行い、このようなルートに「信頼できないネットワーク」から接続できないようにするのが定石です。ところが、そのアクセス制御が不適切だったために「信頼できないネットワーク」から接続されてしまった事が判ります。
元々の問題点として、メルマガの6月号に書いた「Omiai事件に見る個人情報保持の危険性」で述べたように、長期間に渡って不必要な情報を保持していた事も挙げられます。が、不適切なアクセス制御が直接的な原因である事は間違いのないところでしょう。
テレワーク時代になると「信頼されるネットワーク」と言う概念が通用しなくなります。従来のIPアドレスベースのアクセス制御が難しくなる中、適切な認証ベースによるアクセス制御の重要性が増してくる事は間違いのないところです。