この度、弊社が運営するKibela(以下「本サービス」といいます。)において、アクセス権限のない記事が取得できる状態になっていたことが判明いたしました。
本件の原因は既に特定し、対応も完了しております。お客様をはじめ関係者の皆様に多大なるご迷惑、ご心配をおかけいたしましたこと、深くお詫び申し上げます。
なお、調査の結果、情報漏洩による被害は確認されておりませんが、今回の事案を極めて重大な問題であると受け止め、このような事態が二度と起こらないよう、より一層の情報管理の徹底を図り、再発防止の対策を講じていく所存です。
1. 経緯
2019年7月9日から2020年2月17日まで、本サービスのご利用にあたり、アクセス権限のない記事が取得できるようになっておりました。具体的には、フォルダに権限のない記事が入っている場合、その記事のタイトルがUIに表示され、GraphQL APIを使用し記事データへリクエストを行うと、記事本文など他の情報も取得できるようになっておりました。
発覚後、システムの状況を確認したところ、GraphQL APIを用いてフォルダ内の記事を取得する際、権限確認を行う処理が漏れていたことが原因であると判明し、直ちに権限確認を行うように変更をいたしました。現在は対応を完了しており、権限のないユーザーから記事データを取得されることはありません。また、GraphQL APIの他のリクエストに関しては、権限確認処理の漏れがないことは確認しております。
2. 情報漏洩の可能性がある方への対応
全ユーザーの利用状況およびデータ通信などの履歴情報を調査した結果、アクセス権限のない記事を取得した形跡は見受けられないことを確認しております。万が一、ご報告のあった場合は、適切に対処していく所存です。
3. 再発防止に向けた今後の取組み
非公開グループに所属する記事など、閲覧権限が限定されるリソースに対するアクセス制御の漏れを自動的に検知する仕組みを実装し、それを定期的に実行しております。
4. 本件に関するお問い合わせ先
【Kibelaサポート窓口】
support@kibe.la またはKibelaチャット窓口よりお問い合わせください。 受付時間:10時~17時(土日祝日を除く)