eスポーツ事業などを手掛けるBrave group(東京都港区)は6月25日、運営するオーディション企画で個人情報漏えいの可能性があると発表した。子会社・バーチャルエンターテイメントが運営するVTuberプロジェクト「ぶいすぽっ!」の新メンバー募集オーディションの応募者の個人情報約7000件などが漏えいした可能性があるという。
バーチャルエンターテイメントは、ぶいすぽっ!の常設オーディション企画「ぶいすぽっ!JP オーディション」を運用しており、応募者に対してGoogle Formへの回答を求めていた。しかし25日ごろ、X上にて「オーディション応募フォームから応募者7000人分の個人情報が見れる設定になっている」と指摘する投稿が拡散される事態に。これを受け、バーチャルエンターテイメントはオーディションページの公開を停止していた。
Brave groupが調査したところ、Google Formで回答した内容が同Formの編集用URLを知るに至った第三者から閲覧可能な状態だったと判明した。編集用URLはオーディションサイトで一般公開しておらず「何らかの形で編集用URLが流出した可能性が高い」と同社は述べている。
●ユーザーからの問い合わせに気付かず、事態把握に遅れ
運用していたGoogle formの編集用URLは、閲覧・編集範囲を「このリンクを知っているインターネット上の全員が閲覧できます」と設定していた。一方、オーディションサイトに掲載していたURLはこれとは別のもので、個人情報を閲覧できるURLは公開していなかったという。
このことから、3つの可能性として「第三者から編集用URLについて管理者宛に編集権限のリクエストが届き、それを何らかの理由で許可してしまった可能性」「何らかの理由により、当社グループ内より編集用URLが第三者に漏えいし、当該第三者から編集用URLの情報流出が拡大してしまった可能性」「不正アクセスにより、編集用URLが流出してしまった可能性」のいずれかが考えられるとしている。
1つ目の可能性については「当社グループ外の特定のユーザーに編集権限が付与されていた事象は確認していない」と説明しており、可能性は低いという。なお、アクセス制限を講じており、第三者が編集用URLにアクセスできる状態はすでに解消済み。25日午後10時時点では不正使用などの被害も確認していないという。
また、この事態について同社は「6月18日、25日時点で事象に気付いた2人の方からぶいすぽっ!公式XのDMのリクエスト欄で問い合わせがあった」と説明。しかし、リクエスト欄への問い合わせだったため確認が遅れ、25日午後5時1分にX上の投稿が話題になっていると再度連絡を受け、事態の把握に至ったとしている。
●ぶいすぽっ!以外でも漏えい可能性
ぶいすぽっ!以外にも、Brave groupの運営する「Brave group総合オーディション」と、子会社・ENILISが運営する「HareVare VLiverオーディション」でも同様の現象による個人情報流出の可能性があるとも公表。詳細は引き続き調査中としつつ「漏えい対象者の皆さまはもとより、ファンや関係者の皆さまには大変なご迷惑、ご心配をおかけすることを心より深くおわび申し上げます」と謝罪した。
25日午後10時時点で判明している漏えい可能性のあるGoogle Formの回答内容は「ぶいすぽっ!JP オーディション」では7000件あり、内容は氏名や住んでいる都道府県(誤って住所まで入力していた場合は住所)、電話番号、生年月日、使用SNS、志望動機など。対象期間は6月4日午後8時5分から25日午後5時50分まで。
「Brave group総合オーディション」の対象回答数は約2610件(対象期間は6月4日午後7時40分から25日午後5時50分)で、「HareVare VLiverオーディション」は約1043件(対象期間は6月4日午後8時16分から25日午後5時50分)。内容はそれぞれ、氏名や住んでいる都道府県(誤って住所まで入力していた場合は住所)、電話番号、生年月日、使用SNS、志望動機など。
