OLTA、システム不具合で個人情報が閲覧可能状態
- 元記事:【INVOY】顧客情報流出に関するご報告とお詫び
- 元記事:【INVOY】顧客情報流出に関するご報告とお詫び(続報1 サービス復旧)
- 元記事:【INVOY】顧客情報流出に関するご報告とお詫び(続報2 影響範囲について)
- HP:OLTA
| 会社名 | OLTA株式会社 |
|---|---|
| 株式情報 | 非上場 |
| 漏洩種別 | 流出 |
| 漏洩対象 | Web |
| 漏洩場所 | 社外 |
| 漏洩内容 | 氏名/メールアドレス |
| 漏洩件数 | 2,013件 |
| 漏洩日時 | 2023/10/4 |
| 発表日時 | 2023/11/7 |
OLTAにて関連会社のプラットフォームの不具合で個人情報が流出。同社関連会社のFINUXが提供しているクラウド請求書プラットフォーム「INVOY」にて、システム不具合により特定の条件により一部ユーザ顧客情報が他のユーザから閲覧可能状態となり流出した。
流出発覚後、同社はサービスを一時停止して緊急メンテナンスを行った。また、原因究明及び問題解決に努めており、現在復旧の見通しについては未定となっている。なお、クレジットカード情報やパスワードなど金銭被害に係る情報は含まれていない。
同社関連会社の請求書プラットフォーム「INVOY」で特定の条件に該当した一部ユーザの顧客情報が他のユーザから閲覧可能だった件で、同社はメンテナンスのためサービスを一時停止していたが、復旧し、通常通り利用可能になったとしている。原因詳細や影響範囲については現在も調査中となっているが、現時点で確認できている情報を公開した。
それによると、2名以上のユーザがほぼ同じタイミングでログインすると、一方のユーザ情報がもう一方に表示される不具合があることが判明した。10月4日にユーザから問い合わせがあったが、その際には調査を試みたものの、詳細な情報がなかったり問い合わせしてきたユーザと連絡が取れなかったことから具体的な対応を実施していなかったが、1か月後にまたユーザから同様の問い合わせがあり調査した結果今回の事案が発覚。メンテナンスを行ってサービスを復旧した。
原因は2023年8月7日にINVOYのアップデートを行った際に、当該不具合を引き起こすコードが含まれていたことによるもので、本番環境に適用する前に本アップデートのチェックが不十分であった。現在も引き続き調査を行っており、該当ユーザの詳細情報が判明次第情報を公開するとしている。(2023年11月8日追加)
INVOYで個人情報が閲覧可能状態だった件で、影響範囲の調査結果を公表した。調査の結果、2名以上のユーザが0.1秒以内のほぼ同時にログインした際に発生した事象で、システムをアップデートした2023年8月7日から復旧の11月07日までに行われた全ログインのうち同時ログインを行った可能性のあるユーザの最大数は6,501アカウントであることがわかった。ただし、実際に他のユーザが閲覧したかどうかについてはログデータが残っていないため不明となっている。しかし、同時ログインになっても必ずしも他の情報が表示されたわけではなく、対象期間の顧客問い合わせが2件であったことから、実際の閲覧数は少ないと推測している。なお、今回の事象はブラウザ上の表示に関する不具合に限定されており、請求書の発行への誤記載などはなく、他のユーザによる登録情報の書き換えなどの問題は発生しないとしている。同社は対象ユーザにメールにて連絡を行うとしている。(2023年11月9日追加)
