2024年5月24日 株式会社ネクストレベルが運営する短期人材サービス「ネクストレベル」で不正アクセスが発生し、約49万件の個人情報が漏洩した事を公表しました。
目次
不正アクセスの概要
2023年7月14日、第三者から、一部のワーカーから個人情報が漏えいしているとの情報提供を受ける。
当直ちに外部のシステム専門家と連携しつつ、調査を実施したところ、同社が管理運営する「ネクストレベル」のプラットフォーム加盟企業に付与していた管理画面から、ワーカーデータベースに対する不正なアクセスにより、一部のワーカー様の個人情報が抜き取られるという事態が発生していたことが発覚。
2023年11月、個人情報保護法に基づき、個人情報保護委員会への報告を実施するとともに、通知先となるメールアドレスが把握できているワーカー様に対する通知を行う。
現在は各種セキュリティ対策済み
漏洩した個人情報の内容
「ネクストレベル」に登録・エントリーされているワーカーの496,119件分の以下個人情報
・ID
・氏名
・性別
・生年月日
・住所
・電話番号
・メールアドレス
・口座情報
・勤務経歴及び勤務条件
・資格
・緊急連絡先
・システム上に保存されていた身分証明書写真データにアクセスするためのリンクURL(既に変更・セキュリティ措置済)。
マイナンバーを取得していないので、漏えい情報にマイナンバーは含まれていない。
個人情報を窃取したと称する人間から連絡を受ける
不正アクセスの概発覚後、同個人情報を転得したと称する者からの連絡を受ける。同社は警察への被害相談を実施すると共に、警察署において、警察官立ち合いの下、同人物からワーカー様の個人情報を含むUSBメモリの返還を受ける。
なお当該人物は、個人情報は複製していないと述べていますが、同事実の確認はできなかったとしています。
個人情報の売買も否定
一部SNSで言及されていた個人情報のの売買も明確に否定しています。
不正アクセスの方法は総当たり攻撃や ブルートフォース攻撃(Brute-force attack)か
今回管理画面から不正アクセスを受けていますので、管理画面へ機械的にID パスワードを入力する総当たり攻撃や推測できるID パスワードを機械的に入力してアクセスする ブルートフォース攻撃(Brute-force attack)の可能性もあります。
各種クラウドサービスの管理画面への不正アクセスは断続的に発生しており、
バイトルやExpediaエクスペディアを利用している企業も同様のインシデントが発生しています。
なお、こういった管理画面は多要素認証(MFA)を利用する事により、大きくセキュリティリスクを減らせます。