位置情報サービス「NauNau」、約300万人分のユーザー情報にアクセス可能だったとして謝罪（1/2 ページ）

　位置情報サービス「NauNau」を運営するSuishowは、セキュリティ設定の不備によって、個人情報の一部が不正に閲覧可能だったとして謝罪しました。第三者機関による調査では、情報流出の事実は確認できなかったとしています。

　NauNauは、友人や家族と位置情報をリアルタイムで共有したり、チャットしたりできるサービス。10月に同アプリのユーザー200万人以上の位置情報やチャットなどが外部から閲覧できる状態になっていたと報じられました。これを受け、Suishowは第三者機関による調査を行い、NauNauは臨時メンテナンスが続いていました。

原因は

　「NauNau」が利用しているクラウドサービスで、Suishowのセキュリティの設定に不備があり、不正にデータベースにアクセスできる状態になっていたと同社は説明。ユーザーの位置情報やチャット履歴などを取得するには、クラウド上のデータベースへのアクセス情報を入手し、さまざまなリクエストを送信する必要があり、これにはSSL/TLSを利用したモバイルアプリの通信を傍受し解析する知識と、クラウドサービスのAPIへのリクエストを組み立てるための知識が必要としています。

　この手段により、2022年9月29日～2023年5月8日まで推定304万人分のユーザーの現在地情報にアクセス可能だったといいます。また推定167万人のチャット内容や画像が2022年09月29日～2023年3月2日までアクセス可能だったなどと報告されています。

　現時点ではセキュリティ設定の見直しを行っており、当該情報の不正な閲覧はできないものの、調査結果を踏まえ、再発防止策を策定し、セキュリティ向上に取り組むとしています。サービスの再開時期は、再発防止策の策定と合わせて検討しており、確定次第公表するとのこと。