【セキュリティ事件簿#2023-446】OLTA 【INVOY】顧客情報流出に関するご報告とお詫び(続報1 サービス復旧)


平素よりOLTAおよびFINUX(INVOY)のサービスをご利用いただき誠にありがとうございます。

弊社関連会社(FINUX)が提供しておりますクラウド請求書プラットフォーム「INVOY」におきまして、特定の条件に該当した一部のユーザー様の顧客情報が他のINVOYユーザー様から閲覧できる状態になっていたことが判明いたしました。

ユーザー様には、大変なご迷惑とご心配をおかけしましたことを、深くお詫び申し上げます。

本事象の解消に向けて、2023年11月7日(火)18時10分より緊急メンテナンスのためサービスを一時停止しておりましたが、2023年11月8日(水)2時58分に復旧し、現在は通常通りご利用いただけます。詳細な原因や影響範囲の調査を継続しており、今後新たな情報が判明する可能性がございますが、2023年11月8日2時時点で確認できている情報は以下の通りです。

1. 発生事象

<対象ユーザーと事象>
2名以上のユーザーがほぼ同じタイミングでINVOYにログインした際、一方のユーザーの情報が他方に表示されてしまう可能性がある不具合。

<対象の顧客情報>
他ユーザー様が閲覧できる状態にあった可能性がある情報は、以下の通りです。
・ユーザID
・ご登録のメールアドレス
・ユーザ名
・登録日時
・契約プラン
・パートナーコード(登録経路)
・請求書の発行枚数
・ユーザの種別と権限(管理者か否か)
なお、クレジットカード情報やパスワードなど金銭的被害に繋がる情報は含まれておりません。

<経緯>
10月4日(水)
・20時頃、本事象に類似の事象と思われる内容について、ユーザー様より問い合わせを受ける。調査を試みたものの当該事象に関する詳細な情報がなかったこと、問い合わせいただいたユーザ様と連絡がつかなかったことから、問題の確認など具体的な対応を実施せず。

11月7日(火)
・11時頃、対象ユーザー様より問い合わせ受け、調査を開始。
・14時頃、当該事象が再現することを確認。
・18時10分、緊急メンテナンスのためサービスを停止。

11月8日(水)
・2時58分、事象の解消を確認。サービスを復旧。

<対象サービス>
・INVOY(クラウド請求書プラットフォーム)

<サービスサイトURL>
https://www.invoy.jp/

2. 原因

2023年8月7日(月)に行った「INVOY」のアップデート対応において、当該不具合を引き起こすコードが含まれていたこと、また当該アップデートを本番環境に適用する前に実施すべきチェックが不十分であったことが原因です。

3. 今後の対応

本事象に関しまして引き続き調査を実施し、該当ユーザーの詳細情報が判明し次第、可及的速やかに弊社ウェブサイトにてお知らせいたします。