2023/12/13

【セキュリティ事件簿#2023-446】OLTA 【INVOY】顧客情報流出に関するご報告とお詫び(続報2 影響範囲について)


平素よりOLTAおよびFINUX(INVOY)のサービスをご利用いただき誠にありがとうございます。

2023年11月7日(火)に判明した、弊社関連会社(FINUX)が提供するクラウド請求書プラットフォーム「INVOY」において特定の条件に該当した一部のユーザー様の顧客情報が他のINVOYユーザー様から閲覧できる状態になっていた事象について、影響範囲ついて調査した結果をご報告いたします。

本事象の解消に向けて2023年11月7日(火)18時10分より緊急メンテナンスのためサービスを一時停止しておりましたが、2023年11月8日(水)2時58分に復旧し、現在は通常通りご利用いただけます。

ユーザー様および関係者の皆様には、大変なご迷惑とご心配をおかけしましたことを改めてお詫び申し上げます。

1. 発生事象

<概要>
今回判明したのは、2名以上のユーザーがほぼ同じタイミングでINVOYにログインした際、一方のユーザーの情報が他方に表示されてしまう(以下、誤表示)可能性がある、という不具合です。詳細については、後述の<具体的な誤表示の箇所>をご参照ください。
なお、本事象はインターネットブラウザ上の表示に関する不具合に限られ、発行した請求書に誤った情報が記載されたり、他ユーザーによって登録情報が書き換えられるといった問題が発生することはございません。

<対象となるユーザー様>
調査の結果、2名以上のユーザー様がほぼ同時、具体的には100ミリ秒(0.1秒)以内にINVOYにログインした際(以下、同時ログイン)に、上記事象が発生した場合があるとの推定に至りました。
2023年8月7日(月)13時頃から2023年11月07日(火)18:10までの期間(以下、当該期間)に行われた全てのログイン5,656,686回のうち、同時ログイン(可能性がある最大数)は40,854回と全体の約0.72%が発生の上限だったと推定しています。また、当該期間中に同時ログインを行ったユーザー様(可能性がある最大数)は6,501アカウントが上限であったと推定しています。このうち、実際に他ユーザー様によって閲覧がされた数は、誠に遺憾ながら詳細なログデータが残っていないため確認が難しい状況です。
ただし、同時ログインが行われても必ずしも他ユーザー様の情報が表示されたわけではないことや、当該期間におけるユーザー様からの本事象に関する障害報告が2件のみであったことからも、実際に閲覧がされた数は非常に少ないものと考えております。

<対象の顧客情報(更新あり)>
他ユーザー様が閲覧できる状態にあった可能性がある情報は、以下の通りです。
 ・ご登録のメールアドレス
 ・ユーザー名
 ・ユーザーの種別と権限(管理者か否か)
また、調査の結果、第一報の段階で対象の可能性がある情報としていたもののうち、以下については対象外であると判明しました。
 ・ユーザーID
 ・登録日時
 ・契約プラン
 ・パートナーコード(登録経路)
 ・請求書の発行枚数

なお、第一報よりお伝えしている通り、クレジットカード情報やパスワードなど金銭的被害に繋がる情報は含まれておりません。

<具体的な誤表示の箇所>
当該ログイン時、他ユーザー様の画面上に表示された可能性がある具体的な内容と場所の組み合わせは以下の2つです。

①【通常の利用方法で発生するもの】ログイン直後※1、ホーム画面サイドバーに表示されるユーザー名※2 

 ※1 請求書作成機能など別の画面に遷移すると正しいユーザー名に戻ります
 ※2 INVOY登録時に設定いただく表示用ユーザー名で、請求書用の氏名等とは異なります


②【通常の利用方法では発生しないもの】デベロッパーツール※3を表示した際に関連情報として出る各種情報※4

 ※3 開発者用の管理画面。通常の使用方法で表示されることはありません
 ※4 メールアドレス、ユーザー名、ユーザー種別・権限。詳細は<対象の顧客情報(更新あり)>をご参照ください

2. 原因

<概要(既報)>
2023年8月7日(月)に行った「INVOY」のアップデート対応において、当該不具合を引き起こすコードが含まれていたこと、また当該アップデートを本番環境に適用する前に実施すべきチェックが不十分であったことが原因です。

<詳細>
INVOYの画面表示の処理において、2名以上のユーザーより同時ログインがあった場合に当該事象が発生する可能性のあるバグが見つかりました。同時ログインの影響の調査不足によるものです。

3. 今後の対応

  • 他のINVOYユーザー様から顧客情報が閲覧できる状態になっていた可能性のあるユーザー様には、メールにてご連絡いたします。
  • 本事象に関して引き続き調査を実施し、新たな事項が判明した場合には可及的速やかに弊社ウェブサイトにてお知らせいたします。
  • 既に本事象が再発しないよう暫定措置を行いましたが、来週を目途に恒久対応を完了し、再発防止策についてもあわせて報告いたします。