事故から学ぶ

TOP > 事故事例一覧 > 求人情報サイトで情報漏えい

2024/02/06

求人情報サイトで情報漏えい

事故概要

業種	求人情報サイト
発生時期	2023/121/30
漏えい人数	1316
事故概要
引用元	Security Next

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

求人情報サイト「バイトル」で、一部応募情報などが外部に送信される不正アクセスが発生した。

2023年12月30日にメール送信機能を悪用。応募者20人に関する個人情報やログインに用いたアカウント情報が一部応募者に漏洩したことが判明。さらに不正送信されたアカウント情報を用いて、サンライズワークスの求人へ応募した1296人に関する個人情報が閲覧された可能性がある。
メールを受信した応募者からディップに問い合わせがあり、問題が発覚した。
漏えいした情報には、氏名、電話番号、生年月日、性別、メールアドレス、学歴、職歴、運転免許の有無、自己PRなどが含まれる。

チェックリストにある要求ルール：

原因は調査中
社内端末の利用状況やログイン履歴、アカウントの管理状況、マルウェアの感染状況などを調査している。

現時点では同社内部からこれら情報が漏洩した事実は確認されていないとしている。

■ 推奨対策

対策：

対応
不正ログインに使用されたIDを停止し、関連する求人情報の掲載を取り下げた。
情報を閲覧された可能性がある応募者に対して謝罪を行っている。
またメールの受信者に対して問題のメールを削除するよう求めた。

具体例：

真っ先に疑われるのは内部からの情報漏えいだが、エンジニアなど同社関係者は解読できない仕様である、と説明している。
注意が必要なのは、掲載企業が管理画面へログインするためのパスワードは、システム上で暗号化され、エンジニアなど同社関係者は解読できない仕様であると説明していることだ。

誰がアクセス可能だったのか、それを解析するのも内部エンジニアだと本当の原因は露呈しないことになる。

管理画面に不正アクセスした第三者に関する調査は、内部エンジニア以外の第三者を充てる必要がある。

事実確認用に協力を仰ぐ第三者組織を用意しておくことも必要である。