【お詫び】 システム障害のお知らせ

このたび、お客さまからのご指摘により、マイページへの「簡単ログイン」機能において、不作為に別ユーザーの登録ページにログインしてしまう場合がある、というシステム運用上の不備があったことを確認いたしましたので、ご報告いたします。

本件に絡み、お客さまをはじめとした関係の皆さまに多大なるご迷惑とご心配をおかけしましたことを、深くお詫び申し上げます。

調査の結果、判明しました障害原因と発覚経緯および即時の対応について、以下の通りご報告申し上げます。漏洩規模や程度の大小に関わらず、今回の事態を厳粛に受け止め、二度とこのようなことを起こさぬよう、再発防止に取り組み、信頼の回復に努めてまいります。

尚、直接的にご迷惑をおかけしましたお客さまには、担当者と連携をはかりながら、最大限の誠意をもって対応させていただきます。

障害の原因:

マイページへの「簡単ログイン」は、最初にログインしていただいた際に各携帯電話に固有の端末固有IDや契約者固有ID(※以下、固有ID)を取得して、2回目以降のログイン認証を簡略化させるという仕組みを利用しています。これは多くの携帯サイトで採用されている仕組みと同等のものですが、固有IDのみでログインできるという性質上、「ログイン先の内容(=お客さまの登録情報)」の改変に関わらず、常に一定の「ログイン先」と紐付いてしまうという状態が維持されます。本件は、このセキュリティ上の急所を考慮せずに、一部のお客さまの「ログイン先の内容」を弊社にて改変してしまったことが主たる原因となります。結果、改変前に固有IDで紐付けられていたお客さまが簡単ログインを利用された際に、不作為に改変後の内容を閲覧されてしまうという漏洩問題が発生いたしました。

発覚経緯と対応:

発覚は、改変後の内容を不作為に閲覧されたお客さまからの善意によるご報告によります。発覚後すぐに責任者と開発者による調査を開始し、上記の通り原因を特定した上で、以下のような再発防止策を社内周知いたしました。

再発防止策:

今後、システムが発行したすべての顧客IDは、それに紐付く内容が改変の前後で同一顧客である場合に限り、継続して利用することを認め、それ以外の一切の場合について、当該IDを破棄・削除することを原則化いたします。以て、改変前に紐付けられた携帯固有IDとの認証関係を消失させ、簡単ログインについて事実上の再設定が必要な状態に、ユーザーを強制的に誘導するようにいたします。

2011年の新着情報一覧へ戻る

シェア