みらいワークスは5/6、「不正アクセスによる情報流出に関する調査結果およびサービス再開のお知らせ」を公表しました。4月の第一報時点で、当ブログでも取り上げました。その後、外部の情報セキュリティ専門機関による原因調査および再発防止策の検討を行っていました。
調査結果
みらいワークスは、顧客企業と業務委託もしくは人材派遣の契約を締結し、その業務を、登録しているプロフェッショナル人材へ再委託、あるいは有期雇用して顧客企業へ人材派遣を行っています。かなりハイスペック層の個人に特化したプロフェッショナル人材サービスです。
調査の結果、流出の可能性が疑われる情報は個人会員の2,456名分。履歴書、職務経歴書などについては、1,053名分。個人会員が登録プロフィールとして設定した画像が1,965名分という結果。第一報時点から被害の拡大はありませんでしたね。
発生原因
不正アクセスの発生原因は、「流出の疑いのある情報が格納されていた領域のセキュリティ設定および権限設定に不備があったため、悪意ある第三者が不正アクセスできる状況」となっていたとしています。
キャッシュレス決済のペイペイや楽天をはじめとした、多くの企業や自治体が公開範囲の設定をミスしていたという、セールスフォース・ドットコム。ここを使ってたんでしょうか。設定のどこに問題があるかを把握するだけでも、600ページ以上の説明書を読む必要があるんだとか。
今回の不正アクセスの事象を受け、該当するWebサイトの運営を停止していましたが、適切な対応を取ったうえで、5月6日16:00にサービスを再開したようです。第一報からサービス再開まで、同社の顧客対応や開示の姿勢は非常に良い感じだったと思います。💮💮💮