【セキュリティ事件簿#2023-242】READYFOR株式会社 ユーザーのログイン状態が他のアカウントに置き換わる不具合に関するご報告とお詫び 2023年6月15日


READYFOR株式会社(代表:米良はるか、所在地:東京都千代田区)が運営する、クラウドファンディングサービス「READYFOR」(以下「本サービス」)にて、2023年6月14日(水)14時30分頃より、一部のユーザーのログイン状態が他のアカウントに置き換わる不具合の発生が確認されました。

なお、置き換えられた可能性のあるアカウントユーザーの皆様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げます。

また、当社では複数の事業を運営しておりますが、対象となったのは、クラウドファンディングサービス「READYFOR」のみとなっております。

本不具合について以下の通りお知らせするとともに、関係するユーザーの皆さまに深くお詫び申し上げます。

1.発覚の経緯及び応急対応

14日18時30分頃、本サービスのユーザーから当社に対し、身に覚えのない操作の履歴が存在するとの問合せがありました。

当該問合せを契機として原因究明を行ったところ、本サービス利用中にユーザーのログイン状態が他のアカウントに置き換わる不具合が生じる可能性があることが発覚いたしました。

そのため、14日20時10分に本サービスを緊急メンテナンス状態とし、一時的に本サービスの利用停止を行いました。

なお、本サービスは、15日7時10分頃に復旧いたしました。

2.発生原因及び再発防止策

当社における調査の結果、14日14時30分頃にリリースしたプロダクトの改修に起因して、本サービスに係るキャッシュサーバーの動作が意図せぬ形で変更されたことが契機となり、本不具合が生じたものと特定いたしました。

そのため、本サービスの復旧に先立ち、当該改修のリバート処理(改修前の状態に戻す処理)及びキャッシュサーバー上からのキャッシュの削除を行いました。

3.影響範囲及び対応状況

(1)本不具合が生じた可能性がある時間帯

本不具合は、本不具合の原因となった改修のリリースから緊急メンテナンスを開始するまでの14日14時30分から20時10分までの間(以下「本時間帯」)生じた可能性があります。

(2)置き換えられた可能性のあるアカウントについて

・置き換えられた可能性のあるアカウント数

当社において本サービス上のログを分析した結果、最大470名のアカウント 最大57名のアカウント(以下「置き換えられた可能性のあるアカウント」)に対して置換えが生じた可能性があると判断しております。これらのアカウントのユーザーの皆さまに対しては、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げます。

(2023年6月19日12時追記:追加調査により、置き換えられた可能性のあるアカウントの範囲を絞り込み、現時点で最大57名であることが判明しましたので、修正しております)

・置き換えられた可能性のあるアカウントからのご支援について

置き換えられた可能性のあるアカウントから本時間帯に行われたご支援(43件 7件)に関しては、当社から当該アカウントのユーザーの皆さまに対して有効な支援であるかを確認し、有効性を確認できない場合には、当社の判断で支援をキャンセルいたします。

(2023年6月19日12時追記:追加調査により、本不具合により生じた、有効でない可能性がある支援は現時点で最大7件であることが判明しましたので、修正しております) 

・置き換えられた可能性のあるアカウントの登録情報の漏えいの可能性について  

本不具合により、本サービスの別のユーザーから、置き換えられた可能性のあるアカウントの登録情報が閲覧された可能性があります。なお、当社は本サービスのユーザーのカード番号を保有しておらず、本不具合によるカード番号の漏えいのおそれはありません。

(3)別のアカウントにログイン状態となった可能性のあるユーザーの入力情報について

置き換えられた可能性のあるアカウント上で本時間帯に入力された住所、氏名等のユーザー情報のうち、別のユーザーが入力した情報である可能性がある情報については、個人情報保護の観点から、当社の判断で秘匿処理を行いました。

(4)その他

上記のほか、本時間帯の支援に際して新たに登録されたカード番号については、置き換えられた可能性のあるアカウントからの支援か否かにかかわらず、最大限慎重を期して、すべて削除いたしました。

上記のほか、本時間帯の支援に際して新たに登録されたすべてのカードについて、ご本人様が再度カード情報を登録しない限り、本サービス内で新たな支援での利用ができないようにいたしました。なお、当社は本サービスのユーザーのカード番号を保有しておらず、本不具合によるカード番号の漏えいのおそれはありません(2023年6月15日13時訂正)。

4.6月14日14時30分~20時10分にご支援を行った支援者さま向けのお願い

上記のとおり、置き換えられた可能性のあるアカウントから本時間帯に行われた支援に関しては、当社の判断でキャンセル処理を行う可能性があります。

本時間帯にご支援をされた支援者さまにおいては、ご自身のアカウントの支援履歴および支援の有無をご確認頂けますと幸いです。支援したはずの支援履歴がない場合、当社にご連絡頂けますと幸いです。

5.本不具合を受けて 

本不具合により、ログイン状態の置き換えの影響を受けたユーザーの皆さま、本不具合に伴うご支援のキャンセルの影響を受けた実行者の皆さま、本不具合に起因したサービスの一時利用停止により影響を受けられたすべてのユーザーの皆さまに対し、ご迷惑をおかけしたことを深くお詫び申し上げます。

本不具合の発生を重く受け止め、再発防止に努めてまいります。