ぶいすぽっオーディションの個人情報流出。これは酷い
ゲーム系VTuberオーディション企画「ぶいすぽっ! Virtual eSports Project」等のオーディションでGoogleフォームの設定不備から個人情報が流出する事件が発生しました!
コレコレさんがこの騒動を拡散していたのでかなり話題になっていましたね。
不正アクセスされてしまった…というより、設定ミスから誰でも個人情報が閲覧できる状態になっていたようです( ゚Д゚)
※既にオーディションフォームは設定変更後に閉鎖され閲覧不可
【拡散希望】大手VTuber事務所『ぶいすぽっ!』のオーディション応募フォームから応募者7000人分の個人情報が見れる設定になっててやばい…
— コレコレ@配信者😷 (@korekore19) June 25, 2024
■Googleアカウントでオーディション応募フォームにアクセスすると編集権限が共有される
↓… pic.twitter.com/CnwDZTQMfj
漏えいの経緯
但し公式の見解では編集用URLのリンクと回答用URのリンクは異なっており、個人情報を閲覧できるURLが公開されているわけではなかったようで、何故このアドレスが流出したのか今も原因は調査中とのことでした。
Google formの編集用URLの閲覧・編集範囲が「このリンクを知っているインターネット上の全員が閲覧できます」と設定されていたことから、この編集用URLのリンクを知っていれば、誰でも、編集用URLにアクセスし、上記個人情報を閲覧できる状態でありました。
ただし、オーディション応募フォーム上に掲載されているURL(回答用URL)と、回答内容が確認できるURL(編集用URL)は別のものとなっており、オーディションページに掲載されているURLは回答用URLであったことから、個人情報を閲覧できるURLがオーディションページ上で一般公開されていたわけではありませんでした。
本事象から推測するに、編集用URLにアクセスできる可能性としては以下の3つの可能性があり、現在調査中となります。
・第三者から編集用URLについて管理者宛に編集権限のリクエストが届き、それを何らかの理由で許可してしまった可能性。
ただし、2024/6/25 17:15に確認したところ、当社グループ外の特定のユーザーに編集権限が付与されていた事象は確認されませんでした。そのため、この可能性は低いと考えられます。
・何らかの理由により、当社グループ内より編集用URLが第三者に漏えいし、当該第三者から編集用URLの情報流出が拡大してしまった可能性。
・不正アクセスにより、編集用URLが流出してしまった可能性。
被害者は1万人? 被害者への補填が引っ越し代までと規格外
当初は7000人と言われていましたが、「rave group総合オーディション」「HareVare VLiverオーディション」でも同様の事態が確認され、約1万件が流出した模様。
流出した恐れのある内容は
氏名、都道府県、電話番号、生年月日、使用SNS、志望動機など
但し県名の欄に住所全て書いてしまった人もいるようです…
漏洩が確認された被害者にはやむを得ず生じた費用と認められる範囲内で電話番号の変更や引っ越し代まで補填するそうです。個人情報流出でここまで企業が補填することを明言するのは極めて異例だと思いますね。
Vtuberがらみのストーカー事件が起きてからじゃ遅いでしょうけど、そこまでやるか…
<個別事象例>
・電話番号の変更対応につきまして
電話番号変更にかかる費用について、当社で負担させていただきます。・住所を記載していた応募者様の対応につきまして
当社グループのオーディション応募時のフォームでは、所在の都道府県のみの記載をご案内しておりますが、すべての住所を記載してしまった方につきましては、引っ越し費用の負担など、当社にて、具体的な状況に応じて可能な限り対応させていただきます。・その他個別事象に対する対応につきまして
その他の個別事象につきましても、1件ずつすべての事象に対して誠実に対応を行ってまいります。
個人情報流出に関するお詫びと対応につきまして - News | 株式会社Brave group