出典: Cybersecurity JP – https://cybersecurity-jp.com/news/111347
クラフトビール配送サービス「Otomoni」でユーザー情報漏えいの可能性
2025年9月、Brewtope株式会社が提供するクラフトビール配送サービス「Otomoni」において、利用者および法人取引先の情報約2万件が漏えいした可能性があることが発表されました。本記事では、漏えいの経緯や影響、再発防止策について詳しく解説します。
主要なポイント
- アクセスキーのGitHub公開による情報漏えいリスク
2025年8月、クラウドサービス運営企業から「アクセスキーがGitHub上で公開されている」との報告を受け、第三者がクラウドサーバー内の顧客データにアクセスできる可能性が判明しました。 - 漏えい対象データの範囲
漏えいが懸念されるのは2019年10月から2025年8月13日までの利用者情報で、氏名、住所、電話番号、メールアドレス、生年月日、注文履歴、カード番号の下4桁や有効期限などが含まれています。ただし、クレジットカードの全桁番号や暗証番号など決済に直結する情報は含まれていません。 - 対応措置と再発防止策
発覚後、同社は該当アクセスキーを無効化し、認証情報の更新や監査機能の強化を実施。さらに管理体制の再構築や情報セキュリティ教育の徹底を図り、顧客への個別通知とフィッシング詐欺への注意喚起も行っています。
技術的な詳細や背景情報
今回の漏えいは「アクセスキー」の誤公開が原因です。アクセスキーとは、クラウドサービスのAPIや管理画面にアクセスするための認証情報であり、これが第三者に知られるとサーバー内のデータに不正アクセスされる恐れがあります。GitHubなどのソースコード管理サービスに誤ってアクセスキーを含むファイルをアップロードすると、誰でも閲覧可能な状態となり、情報漏えいのリスクが高まります。
このようなリスクを防ぐためには、アクセスキーをソースコードに直接含めず、環境変数や安全なシークレット管理ツールを利用することが推奨されます。また、定期的な監査や不審なアクセスの検知も重要です。
影響や重要性
漏えいした情報には個人の基本情報や注文履歴が含まれているため、悪用されるとなりすましや詐欺、フィッシング攻撃の被害につながる可能性があります。特にカード番号の下4桁や有効期限が知られると、詐欺師が信用情報を組み合わせて不正利用を試みるリスクが高まります。
企業にとっては、顧客情報の管理ミスがブランドイメージの低下や法的責任につながるため、情報セキュリティ対策の強化が不可欠です。
まとめ
Brewtope株式会社の「Otomoni」サービスにおける情報漏えいの可能性は、アクセスキーの誤公開が原因でした。漏えいした情報は個人情報を中心とし、決済情報の全桁は含まれていないものの、悪用リスクは無視できません。企業はアクセスキーの管理方法を見直し、顧客情報保護のための体制強化と教育を徹底する必要があります。利用者は不審なメールやフィッシング詐欺に注意し、身の回りの情報管理にも気を配ることが重要です。
