2025年9月25日 Brewtope株式会社は、クラフトビール定期便サービス「Otomoni(オトモニ)」に関連する最大20,776件の個人情報が流出した可能性を公表しました。対象は、2019年10月〜2025年8月13日に同サービスを利用した個人顧客の会員・注文情報および、法人取引先の担当者情報等です。
概要
発端は2025年8月13日、同社が利用するクラウドサーバーのアクセスキーがGitHub上で公開されていたことをクラウド事業者から通知されたことにあります。
調査の結果、2024年1月13日〜2025年8月13日の間、第三者がクラウド上の個人情報にアクセス可能な状態になっていたことが判明しました。
なお、クラウドのアクセスログから不正アクセスは確認されていませんが、完全には否定できない状況としています。8月13日に当該キーは無効化され、8月19日にはキー・認証情報の更新、監査機能見直し等の強化対応を実施済みです。
原因
本件は、アクセスキー管理に関するルール徹底と運用管理の不備により、認証情報がGitHub上で公開されてしまったことが直接要因です。結果として、クラウド上の個人情報領域が長期間アクセス可能な状態になりました。シークレット管理の逸脱(埋め込み・持ち出し・レビュー不足)が根本原因と整理できます。
漏えいの可能性がある個人情報
以下合計で20,776件の情報が漏洩。
-
個人顧客:氏名、住所、電話番号、メールアドレス、生年月日、配送先住所、注文情報、決済情報(カード番号下4桁・有効期限のみ)
-
法人・取引先:企業名/取引先名、納品先住所、担当者氏名、メールアドレス、電話番号、生年月日
-
除外(漏えい可能性なし):クレジットカード番号の全桁、暗証番号など決済に直接利用される情報
情シスが見直すべき管理策(再発防止の観点)
-
シークレット管理の標準化:
-
認証情報は環境変数・シークレットマネージャへ集約、コード埋め込み禁止を明文化。
-
短寿命(ローテーション)キーとスコープ最小化(最小権限)をセットで適用。
-
-
自動検出とブロック:
-
GitHub向けシークレットスキャナ(サーバサイド・プリプッシュフック)をCI/CDに組み込み、誤公開の即遮断を実現。
-
公開リポジトリ監視(自社名・クラウドキーのパターン)を継続。
-
-
クラウド監査強化:
-
CloudTrail/監査ログの完全化、異常地/異常時間のアクセス検知、Config/ポリシー逸脱検知を有効化。
-
鍵失効の自動化(検出→即無効化ワークフロー)。
-







