宿題ヘルプサービスが一部の生徒の性的指向や宗教に関する詳細を含む4000万人のユーザーデータ流出でFTCに追及される

アメリカの連邦取引委員会(FTC)が、カリフォルニア州サンタクララに本社を置く教育テクノロジー企業「Chegg」を取り締まり、同社のサイバーセキュリティに対する不注意により、数千万人のユーザーの個人情報が流出したと指摘しました。

FTC Accuses Chegg Homework Help App of ‘Careless’ Data Security - The New York Times
https://www.nytimes.com/2022/10/31/business/ftc-chegg-data-security-legal-complaint.html

Chegg sued by FTC after suffering four data breaches within 3 years
https://www.bleepingcomputer.com/news/security/chegg-sued-by-ftc-after-suffering-four-data-breaches-within-3-years/

Cheggは2005年に大学生向けの教科書レンタルサービスとして設立され、後に電子教科書をレンタルするオンライン学習サイトとして成長したサービスです。Cheggのもう1つのサービスに、月額課金制で学問に関するさまざまな質問の答えをすぐに見つけ出すことができる「宿題支援プラットフォーム」というものがあります。このなかで学生は宿題の答えとなる質問を探せるほか、Cheggのエキスパートに勉強やテストの問題に対する回答を求めることもできます。

2022年、Cheggは数千万人もの顧客と従業員の個人情報を適切に管理していなかったとして、FTCに訴えられました。

FTCの訴状によると、Cheggは特定のデータベースへの実質的なオールアクセスパスであるルートログイン認証情報を複数の従業員や外部委託先に発行しており、それらの資格情報をもとに多くの人がオンラインストレージに保管していたユーザーデータを閲覧できる状態にあったとのこと。

その結果、Cheggの元請負業者が2018年に約4000万人のユーザーの名前、メールアドレス、パスワードを盗みました。データには学生の宗教、性的指向、両親の収入などの機密情報も含まれており、後にネット上で販売されていることが判明しています。これにより、Cheggは4000万人のユーザーのパスワードをリセットせざるを得なくなりました。

さらに上述の被害に遭った1年後には別のChegg社員がフィッシングの被害に遭い、攻撃者にCheggの給与システムへのアクセスを許し、何百人もの従業員の生年月日や社会保障番号などを盗むことができる状態となっていました。

このほか計4件のデータ侵害があったかどでFTCはCheggに業務改善を命じ、データセキュリティの強化、ユーザーがアカウントを保護するための多要素認証の導入、収集・保存する顧客データの制限、顧客がデータにアクセスし削除できるようにすることを求めました。

Cheggはこれを受け、「Cheggは包括的なデータセキュリティプログラムを採用することに同意しました。現在は強固なセキュリティ対策を行っており、当局の苦情に記載された事件は2年以上前に発生したものです。Chegg社はユーザーのデータ保護に全面的に取り組んでおり、信頼できるプライバシー保護団体と協力して当社のセキュリティ対策を改善してきましたし、今後もその努力を続けていきます」と述べました。