婚活マッチングアプリ「Omiai」で、171万件もの会員情報流出が判明した。流出したデータには運転免許証やパスポート画像などが含まれる。氏名や住所に加えユーザーの顔写真情報まで流出したのは深刻な問題だ。運営するネットマーケティングは再発防止策を講じたものの、流出したデータによる二次被害を防ぐ手立ては見つかっていない。
婚活マッチングアプリ「Omiai」を運営するネットマーケティングは2021年5月21日、不正アクセスによるデータ流出に関するおわびを公表した。Omiaiは2020年10月時点で累計会員数が600万人を超える大手のサービスだ。
この事件はすぐさま新聞各紙やテレビ、インターネットのニュースサイトなどで報じられ、大きな話題になった。その理由の一つは、流出したデータが氏名や住所、生年月日などアカウント数で171万1756件と大規模だったこと、さらには恋人探しや婚活など、利用者にとってはその事実をあまり他人に知られたくない可能性のあるサービスのデータであることだ。
ITセキュリティーサービスを手掛けるS&Jの三輪信雄社長は、「データ漏洩の内容が単なる氏名や住所の漏洩とは大きく異なり、事態を深刻にしている」と指摘する。
約171万件のデータは2018年1月31日から2021年4月20日の期間にネットマーケティングへ年齢確認審査のために会員が提出した画像データだった。これは会員間のメッセージを送信する際に、ネットマーケティングへの提出が必須になっていた。
具体的には、運転免許証やパスポート、健康保険証などが使われる。流出したデータ全体の約6割が運転免許証の画像データだった。これが4月20日から4月26日までの間に、数回にわたって外部に流出した。
犯罪者にとって利用価値が高い
S&Jの三輪社長によると、今回の流出と同時期に、あるサイトに日本の運転免許証の画像データが大量に売りに出されていたという。「流出元がOmiaiのデータなのかは定かではないが、運転免許証の画像データが売りに出されること自体、犯罪者にとって買う価値がある重要データであることを示している」(三輪氏)。
こうしたデータは、偽造の運転免許証を作る際の元データに使われたり、認証の甘い金融機関の口座開設に使われたりする可能性が考えられる。
実際に2020年9月にSBI証券の顧客口座から資金が不正に流出した事件では、資金を受け取る口座として偽造書類を使ってつくられたゆうちょ銀行口座が使われた。そのほかにも別の婚活サイトになりすまして登録し、「ロマンス詐欺」とも呼ばれる金銭狙いの結婚詐欺に悪用される可能性もある。
この点に関してネットマーケティングに問い合わせたところ、売買されているのではという指摘があることはSNS(交流サイト)やインターネット上の投稿などで認識しているとした上で、「現時点ではあくまで伝聞や風評レベルにすぎず、実際に当該情報の流出に係る具体的な事実や事象については、当社において一切確認できていない」と回答した。それ以外の具体的な二次被害の発生や、明確な因果関係を伺わせる内容・事象についても確認できていないという。
