Brave groupがVtuber オーディションでの個人情報 漏洩に関する調査結果を公表|セキュリティインシデントの事例

Brave groupがVtuber オーディションでの個人情報 漏洩に関する調査結果を公表|セキュリティインシデントの事例

2024年6月25日 株式会社Brave group のグループ会社である株式会社バーチャルエンターテイメントが運営する、「ぶいすぽっ!JP オーディション」の応募情報が漏洩しました。さらに、Brave groupの運営する「Brave group総合オーディション」および株式会社ENILISの運営する「HareVare VLiverオーディション」においても同様の個人情報漏洩の可能性を発表しました。 7月30日に調査結果が公表されました。

漏洩の原因

対象のオーディションにおけるGoogle Formsの編集用URLの閲覧範囲が「このリンクを知っているインターネット上の全員が閲覧できます」と設定されていたことから、この編集用URLのリンクを知っていれば、誰でも、編集用URLにアクセスし、上記個人情報を閲覧できる状態であった為。

ただし、オーディション応募フォーム上に掲載されているURL(回答用URL)と、回答内容が確認できるURL(編集用URL)は別のものとなっており、オーディションページに掲載されているURLは回答用URLであったこと、さらには回答用URLから編集用URLを容易に推察できるものでなかったことから、個人情報を閲覧できるURLがオーディションページ上で一般公開されていたわけではありませんとのことです。

関連記事

Brave groupの関連会社が運営する「ぶいすぽっ!JP オーディション」個人情報漏洩

漏洩した期間

2024年6月4日から該当フォームの閲覧制限を行った2024年6月25日の期間に意図していない外部の第三者が閲覧できる状況にあった。

影響範囲

「ぶいすぽっ!JP オーディション」
「Brave group総合オーディション」(グローバル向けの「Brave group総合オーディション」を含む)
「HareVare VLiverオーディション」
「ぶいすぽっ!切り抜き動画」のチャンネル許諾申請用Google Forms

対策

グループ内全てのGoogle Workspaceにおいて、作成されたGoogle Formsを洗い出し、権限を「制限付き」(当社のドメインによるアクセス又は当社の許可がなければアクセスできない)に変更。

相次ぐグーグルフォームの誤設定による個人情報漏洩

グーグルフォームの権限設定ミスによるセキュリティ インシデントは引き続き発生しており

株式会社あわわのセキュリティインシデント

2024年3月8日子育て情報誌「ワイヤー」を運営する株式会社あわわが、グーグルフォームの設定ミスにより95名の個人情報が漏洩した可能性があると発表しました。

松竹株式会社のセキュリティインシデント

2024年6月17日 松竹株式会社が「大阪松竹座『船乗り込み』開催と乗船者募集のお知らせ」の応募に用いたグーグルフォームの誤設定で、外部から閲覧できる状態であったことを公表しました。

TOPへ