オンライン英会話のレアジョブ、不正アクセスで個人情報11万人分流出の可能性

　オンライン英会話のレアジョブは14日、外部からの不正アクセスにより、個人情報約11万人分が流出した可能性があると発表した。同社では現在、レアジョブの全サービスをを停止している。また、不正アクセスを受けたサーバーも停止している。

　同社によると、2012年5月10日（木）15時頃に実施した調査の結果、2012年5月10日午前3時頃にレアジョブのウェブサイトが外部（アメリカのIPアドレス経由）からの特殊な不正アクセスにより、改ざんされた形跡が認められたという。その際に外部攻撃者が埋め込んだファイルを解析したところ、有害サイトに誘導するようなスクリプトを確認したが、同社データベースへの侵入の可能性及びその形跡は確認されなかったため、改ざんに対して必要な補修を行い、行われたすべての改ざんに対して対応の完了を確認できたため、5月11日（金）18時頃、サービスの再開を行ったという。

　しかし、サービス再開以降、モニタリングの強化やセキュリティ強化施策の実施と並行して、その他の攻撃があった可能性について更に調査を進めたところ、5月13日（日）12時に、新たに2012年2月20日、同2月22日、同3月30日にも不正アクセスをされていた形跡を発見。このうち2月22日の不正アクセスの際に外部（エジプトのIPアドレス経由）から攻撃ファイルを埋め込まれており、個人情報データベースに対して攻撃可能な状況になっていたという。

　このため、現在のところ個人情報が流出した形跡は確認されていないが、個人情報が違法に取得できる状況にさらされている可能性が否定できないと判断し、急遽5月13日（日）18時にサービスを停止し、当該ファイルを削除した。また、当面の対応としてセキュリティ対策の専門企業にアドバイスを受け、同社システム内に存在する可能性がある脅威を一掃するために、同社が所有するサーバー全台について早急に初期化を実施する事を決定し、現在作業をすすめているという。

　なお、個人情報が流出した可能性があるのは、レアジョブのオンライン英会話サービス開始以降にレアジョブに無料会員及び有料会員登録をした全生徒。レアジョブに登録中で個人情報削除の依頼を受けていない全ての顧客約11万人を含むという。流出の可能性が否定できない個人情報は、名前、ニックネーム、登録メールアドレス、パスワード、登録Skype名、顧客のレッスン受講に関する履歴、講師の顧客レッスン状況に関する記録。

　一方、クレジットカード情報等の決済情報に関しては、同社の決済システムとしてPayPal及びauかんたん決済を利用しており、それらの決済情報を同社で保有していないため流出の可能性はないという。また、銀行振込の顧客に関しては、当該システム内に顧客の銀行口座情報を保有していないため、同様に流出の可能性はないとしている。なお、現状、顧客からの2次被害の報告は受けていないという。

　また、レアジョブでは、顧客に安全にサービスの提供ができることが確認できるまで全サービスを停止するという。当面の休止期間として、5月14日より、1週間～10日を目処としているという。再開日については、「安全性が外部機関の助言も含めて確認された後を想定しており、決定次第連絡する」としている。また、休止期間中については、同社規定の日割り計算で顧客に料金を返金するという。

　なお、5月15日（火）午前9時～午後7時の間、同社システムの障害復旧を実施するため、同社ウェブサイトおよび同社メールアドレス（@rarejob.com）での送受信が停止するという。