Brave groupとその子会社が運営するVTuberオーディション企画で、応募フォームとして使っていたGoogleフォームの設定不備により、応募者の1万人以上の個人情報が漏えいした問題をめぐり、同社は7月31日、原因の詳細を発表した。
応募期間中にGoogleフォームで予告のない仕様変更があり、応募者が回答を送る「回答用URL」から、応募者の回答内容を閲覧できる「編集用URL」を特定できる手法が存在していた可能性が高いことが分かったという。この手法は既に再現できなくなっている。
漏えいが起きたのは、「ぶいすぽっ!」など3つのVTuberオーディション企画。6月4日から6月25日にかけ、応募者の氏名や電話番号などの個人情報累計約1万件が漏えいした可能性がある。
原因は、応募者の回答を閲覧できるGoogleフォームの「編集URL」が、「URLを知っている全員が閲覧可能」に設定されていたこと。「編集用URL」を知っていれば、回答された個人情報を誰でも閲覧できる状態になっており、「『ぶいすぽっ!』応募者の個人情報が見られる設定になっている」と指摘する投稿が6月25日ごろにXで拡散されて騒ぎになっていた。
ただ、応募者に公開されていた「回答用URL」と、回答を閲覧できる「編集用URL」は別。「回答用URL」から「編集用URL」は容易に推察できるものでなく、同社は、編集用URLが漏えいした理由を調査していた。
そこで浮かび上がったのが、Googleフォームの予告のない仕様変更だ。
●「予告・通知のない仕様変更」とは
当時、「回答用URL」から回答したユーザが、Googleアプリから自身のアカウントでフォームに移動すると、「最近使用したフォーム」の欄に回答したフォームが表示され、そこから他の回答者の個人情報が閲覧可能だったという。
外部機関による調査によると、外部からの意図しないアクセスが発生した6月4日当時、Googleフォームで予告・通知のない仕様変更があり、「回答用URL」から「編集用URL」を特定できる手法が存在していた可能性が高いことが分かった。
この手法は6月4日前後から存在していたとみられ、6月26日時点では再現できなくなっていたという。
●今後は自社独自フォームで受付へ
同社は再発防止策として、同社グループ内で作成したGoogleフォームの権限を「制限付き」に変更。同社グループのドメインからのアクセスまたは、同社の許可がなければ閲覧不能にする。
また今後、Googleフォームを含む全てのGoogle Workspaceについて、アクセス制限がない公開設定を無効にする。
さらに、個人情報に関する管理体制の強化や、規程・ルールの見直し、個人情報を含めた情報管理に関する意識の向上などに取り組む。
一時閉鎖しているオーディションは順次再開するが、応募時に入力してもらう情報から本名や電話番号などの取得を制限し、自社で用意した独自フォームで受け付ける。