インターネットイニシアティブが2021年7月15日に情報漏洩事件を起こした。格安通信サービス「IIJmio」の顧客向けスマートフォンアプリケーションで、他のユーザーの電話番号の一部や契約情報などが誤表示された。サーバー側のアプリケーションに存在したバグが原因だった。同社は即座にアプリの運用を停止、再開には4カ月弱を要した。
「さっきダウンロードしたアプリの画面に、見知らぬ電話番号が表示されている」。インターネットイニシアティブ(IIJ)が手掛ける格安スマートフォンサービス「IIJmio」のサポートセンターにユーザーからこうした指摘が寄せられたのは、2021年7月15日午後のことだった。
問題となったスマートフォンアプリケーションは「My IIJmio」だ。IIJmioの料金プラン「ギガプラン」を契約しているユーザーが、契約内容や請求金額、データ通信の利用実績などを確認するための管理アプリである。IIJは同日午前10時、My IIJmioをスマートフォンベンダーが運営するアプリケーションストア、具体的には米アップルの「Apple App Store」や米グーグルの「Google Play」、中国ファーウェイの「HUAWEI AppGallery」に公開した、と発表したばかりだった。
ユーザーから一報を受けIIJはただちに調査に乗り出した。その結果、「ギガプランを契約する一部のユーザーの契約情報が、別のユーザーのアプリに表示される」というトラブルが発生したと判明した。このトラブルで漏洩した情報は、電話番号の一部、ユーザーIDや申込日、利用開始日といった契約内容、請求金額、データ通信容量やその残量など、多岐にわたった。
もはや一刻の猶予もならない事態だった。IIJは「電気通信事業法上の『通信の秘密』の保護規定に抵触する情報セキュリティー事故と判断し」(島上純一常務取締役)、被害の拡大を防ぐため同日午後6時55分にMy IIJmioの運用を停止した。
IIJmioは、IIJが2012年から展開している格安スマホサービスだ。2021年9月末時点の契約件数は107万件。調査会社のMM総研によれば、携帯大手の傘下ではない独立系の格安スマホ会社の格安スマホサービス市場でIIJは業界首位に立つ。
しかし競争環境は一段と激しさを増している。NTTドコモやKDDI、ソフトバンクが通信料の安い料金ブランドで攻勢をかけ、「第4軸」の楽天モバイルも2021年4月から月間データ通信量が「1ギガバイト以下は月額無料」の格安プランを繰り出した。
こうした動きを受けてIIJが2021年4月に導入した新料金プランがギガプランだ。格安スマホサービスの主戦場である小容量だけでなく携帯大手が得意とする大容量の価格帯でも競争力の高い値付けとした。6月には複数回線でデータ通信量をシェアしたりプレゼントしたりできる機能を追加した他、5G(第5世代移動通信システム)にも対応した。
My IIJmioはギガプラン用に新たに開発したスマホアプリだ。1社当たり2000店舗以上の携帯ショップを組織化している携帯大手と異なり、IIJなど格安スマホ会社は基本的に店舗を持たずにオンラインで顧客サポートを提供する。My IIJmioはIIJにとって、主力のギガプランの使い勝手を高めてユーザーをつなぎ留めるための重要な顧客接点と言える。それが皮肉にも情報漏洩を起こした。
IIJによれば、契約情報が別の顧客のアプリに表示されたユーザーの総数は254人。IIJは翌日の7月16日までに、被害に遭ったユーザーに個別連絡し、通信市場を所轄する総務省に報告した上で、同日午後6時20分に情報漏洩した事実を公表。「関係者に多大なるご心配、ご迷惑をかけており深くおわびする。大変申し訳ない」と謝罪した。
このトラブルの直接の原因は、IIJがMy IIJmio向けに開発したAPI(アプリケーション・プログラミング・インターフェース)サーバーのプログラムの不具合である。
IIJは格安スマホサービスを手掛けるMVNO(仮想移動体通信事業者)として、顧客情報や課金情報などを管理する業務支援システムを運営している。APIサーバーは、業務支援システムとスマホ上のMy IIJmioアプリとのデータのやり取りを橋渡しする役割を担っている。APIサーバーはアプリのリクエストを受けて業務支援システムから契約情報や請求情報などを収集し、アプリに送り出す。