【セキュリティ事件簿#2024-103】株式会社アジャイルウェア 個人情報流出に関するお詫びとご報告 2024/3/7

Lychee Redmine

この度、弊社お問い合わせページにおいて、一部のお客様の個人情報が他者から閲覧できる状態になっていたことが判明いたしました。

現在は原因の調査・対策は完了しております。

お客様の大切な個人情報をお預かりしているにも関わらず、このような事態に至り、深くお詫び申し上げるとともに再発防止に努めさせていただく所存です。

1.経緯

2021年9月28日(火)、Lychee Redmine Webサイトの表示速度改善のため、Webページのキャッシュ保持対策を行いました。それ以降、一部のお客様の情報について、他者から閲覧できる状態になっていたことが、2024年2月27日(火)にお客様からの問い合わせで発覚しました。

発覚後、お問い合わせフォームを閉鎖し、原因究明と経緯や対象範囲の確認を行いました。
現在は問題は解消されており、通常通りご利用いただけます。

時系列

2024-02-27

15:48 お客様から問い合わせ(「お問い合わせページを利用した際、他の人の情報が表示される」)
15:49 調査開始
16:00 原因究明、対策までの間、問い合わせフォームを一時的に閉鎖(問い合わせページを非公開にした)
16:32 原因判明後、ページキャッシュのクリア及び、該当ページでのキャッシュを無効化する

2. お客様の情報が第三者に表示されるケース

Lychee Redmine Webサイト上の対象ページにおいて、
お客様がフォームに入力後[送信する]ボタンを押した際に、
必須項目が未入力だったなどの入力エラーが発生した場合で、
且つ、入力エラー発生時点から30分以内に同ページに第三者がアクセスした場合。

対象ページ

オンプレミス30日無料トライアルお申し込み
 https://lychee-redmine.jp/onpre-enter_application/

アップグレードお申し込みフォーム
 https://lychee-redmine.jp/upgrade/

フリープラン グレードアップキャンペーン(現在はページ閉鎖)
 https://lychee-redmine.jp/free-campaign/

お問い合わせ
 https://lychee-redmine.jp/contact/

訪問デモ・説明依頼(現在はページ閉鎖)
 https://lychee-redmine.jp/demo/

3. 閲覧された可能性のある情報

・氏名
・メールアドレス
・会社名
・所属部署
・役職
・電話番号
・お問い合わせ内容

4. 入力された情報を他者に閲覧された可能性のあるお客様

2021年9月28日(火)〜 2024年2月27日(火)に対象ページから問い合わせ内容を入力したお客様 : 1,208人

※期間中に問い合わせいただいたお客様の人数を集計

5. 今後の対応について

個人情報を閲覧された可能性のあるお客様には、弊社より、メールにて個別にご連絡いたします。

現在、影響範囲の特定および再発防止策に関して検討中のため、詳しい内容につきましては、改めてご報告いたします。

今回、このような事態を発生させてしまいましたこと、お客様に多大なご迷惑とご心配をおかけしましたこと、重ねてお詫び申し上げます。

【2024/3/15 追記】

この度は、お客さまをはじめ多くの関係者の皆様に多大なるご迷惑とご心配をおかけいたしましたことを、深くお詫び申し上げます。

調査の結果、新たに判明した事項につきまして、下記の通りご報告いたします。

なお、本件はID・パスワードの漏洩、不正アクセス等により発生したものではなく、悪質な情報漏洩、データ改竄は確認されておりません。

Lychee Redmine 製品WEBサイト内のフォームのみ対象となり、弊社がお客様にご提供しているLycheeクラウドや、LycheeRedmineをご利用中のお客様専用お問い合わせシステムは対象外です。

調査の結果、WEBサイトの該当フォームにて情報が閲覧できる状態になっていた可能性のあるお客様は1,210人でした。

※期間中に問い合わせいただいたお客様の人数を集計した件数になります。

このうち、お客様情報が第三者に表示されるケースは、お客様がフォームに入力後、送信ボタンを押した際に、必須項目が未入力だったなどの入力エラーが発生した場合で、且つ、入力エラー発生時点から30分以内に同ページに第三者がアクセスした場合のみとなります。

入力された情報を他者に閲覧された可能性のあるお客様には、近日中に個別にご連絡させていただきます。

再発防止策といたしまして、お客様情報を入力するフォームを設置しているページはすべてキャッシュを無効化する設定を実施致しました。加えて、よりセキュリティレベルの高い代替サービスの利用やWeb アプリケーション診断等の外部機関による評価の実施も検討してまいります。

改めまして、多くのお客さまに多大なるご迷惑とご心配をおかけしたことをお詫び申し上げるとともに、お客さまのご不安の解消と今後の再発防止に努めてまいります。