【セキュリティ事件簿#2024-365】株式会社マクアケ 「Makuake」サイトのログイン不具合に関するご報告とお詫び 2024/8/20

 

株式会社マクアケ(以下、「当社」)が運営するアタラシイものや体験の応援購入サービス「Makuake」にて、2024年8月19日(月)15時13分から16時1分までの約48分の間、一部のユーザーのログイン状態が他のアカウントに入れ替わる不具合が発生していたことが確認されました。事象を確認した後、直ちに不具合の解消と全ユーザーの強制ログアウト処理をしており、現在は復旧し、正常にアクセスいただけます。

本不具合によりユーザーの皆さまにご迷惑とご心配をおかけしましたことを、深くお詫び申し上げます。なお、本不具合が生じた対象のアカウントの皆さまのご登録メールアドレス宛に、8月19日時点で個別に電子メールにてお詫びとお知らせをご連絡しております。ユーザーの皆さまにおかれましては、ご自身の元に当該のメールが届いていないかをご確認いただけますと幸いです。

この度発生した不具合の詳細を、以下の通りご報告いたします。

■発生の経緯と対応及び再発防止について

8月19日15時29分にユーザーからお問合せがあり、事象の詳細を確認したところ、8月19日15時13分から16時1分までの約48分の間、「Makuake」にログインする際の情報の取り扱いに不具合が生じ、一部のユーザーのログイン状態が最大10分の間、他のアカウントのものと入れ替わる事象の発生を確認しました。

事象を確認した後、直ちに不具合の解消と全ユーザーの強制ログアウト処理をしており、現在は復旧し、正常にアクセスいただけます。

社内調査の結果、同19日15時13分に内部的な認証フローの変更対応をリリースした後、本不具合が生じたことが判明いたしました。

なお、本不具合は内部システム変更により発生したものであり、サイバー攻撃などの外部に起因するものではございません。

当社としては、本不具合の発生を重く受け止め、開発項目のリリース時におけるチェック体制を見直し、同様の事態を再び発生させないよう再発防止に努めてまいります。

■影響範囲及び対応状況

お問い合わせをいただいた後、直ちに特別調査チームを設置し、該当時間におけるログを分析したところ、3,916名のアカウントに対して他のユーザーアカウントとの入れ替わりが発生していたことを確認しました。なお、対象のアカウントの皆さまに対しては、電子メールにてお詫びとお知らせを個別にご連絡しております。

<ユーザーにおける影響範囲及び対応状況>

・入れ替わったアカウントの登録情報が閲覧された可能性について

本不具合により、アカウントが入れ替わったユーザーが別のアカウントの登録情報(氏名、電話番号、住所、Makuakeメッセージ内の送受信情報、登録済みクレジットカードの下四桁/有効期限)を閲覧/変更した可能性があります。本不具合の対象のユーザーの皆さまにおかれましては、身に覚えのない電話は受けない、不審なダイレクトメールが届いても反応しないなどの対応をお願いいたします。

なお、本不具合による下四桁/有効期限以外の決済に必要なカード情報の漏えいのおそれはございません。

・入れ替わったアカウントからの応援購入について

他のユーザーアカウントに入れ替わった状態で行われた可能性のある応援購入(1決済)について、クレジットカード決済の場合、当社のシステム上、決済時にカード選択と同時にセキュリティコードの入力が必須となっているため、他者名義での処理がされていないことが確認できています。

現金決済(コンビニ決済、ペイジー決済、銀行振込)の場合、応援購入のお申し込み時に入れ替わっているアカウントの情報登録が必要ないため、他者名義での応援購入のお申し込みが可能でしたが、現状の調査において決済は確認されておりません。

また、該当のユーザーには個別にご連絡をさせていただきます。

・その他

本不具合の発生時間において、本不具合の対象アカウントにおけるマイページ上でのユーザー情報の入力はログを分析した結果、現状確認されておりません。なお、現在も調査を続けており、事象が発覚した場合は個別にご対応させていただきます。

<実行者における影響範囲及び対応状況>

・入れ替わったアカウントの登録情報が閲覧された可能性について

本不具合により、アカウントが入れ替わったユーザーから実行者アカウントの登録情報が閲覧された可能性があります。該当の実行者の皆様には8月19日時点でご連絡をしておりますが、別途対応いたします。

■すべてのユーザーの皆さまへ

影響のあったユーザーの皆さまをはじめ、全てのユーザーの皆さまにご迷惑とご心配をおかけしたこと、重ねて深くお詫び申し上げます。

当社としては、本不具合の発生を重く受け止め、同様の事態を再び発生させないよう再発防止に努めてまいります。

リリース文アーカイブ