kintoneに連携「kMailer」で不具合、送信ログとして別顧客の情報が流出 | ScanNetSecurity
2024.03.19(火)

kintoneに連携「kMailer」で不具合、送信ログとして別顧客の情報が流出

トヨクモ株式会社は1月8日、同社が提供するkMailerにて同サービスを契約する別の同社顧客の認証情報を使用してメール送信する不具合があり、メール送信時の顧客情報の一部がログ情報として流出した可能性が判明したと発表した。

インシデント・事故 インシデント・情報漏えい
トヨクモ株式会社は1月8日、同社が提供するkMailerにて同サービスを契約する別の同社顧客の認証情報を使用してメール送信する不具合があり、メール送信時の顧客情報の一部がログ情報として流出した可能性が判明したと発表した。同社が提供するkMailerは、サイボウズ株式会社のkintoneに連携するメール送信システムで、kintoneで管理する詳細情報を引用しながらメール送信が可能。

1月7日午後4時51分に、同社に対し取引先からSendGridの認証情報が意図せず共有・混在している可能性があると連絡があり調査したところ、SMTP設定の「サーバー名」「ポート番号」「通信の暗号化方式」「ユーザー名」が同じ顧客がいた場合に不具合が発生することを確認、同日午後9時30分に不具合解決のため緊急メンテナンスを実施した。

不具合の現象としては、kMailerのSMTPサーバ設定として、SendGridの二要素認証設定をしている同社顧客と1分単位で同じ時刻にメールを送信した場合、同社顧客の認証情報を利用しメールを送信した可能性があるというもの。同社顧客 最大7社のSendGrid内に、メール送信のログ情報として顧客情報が流出した可能性がある。

流出した可能性があるのは、最大7社の宛先メールアドレス、メール件名、受信者IPアドレス・ユーザーエージェント、受信ステータス、SendGridの設定でOpen Tracking 機能が有効で送ったメールがHTMLメール時に開封されたか、SendGridの設定でClick Tracking 機能が有効な場合はクリックされたURLを含むSendGrid内のActivity情報で、最大1,948件のメール送信が行われている。

同社では今後、より一層の管理体制の強化に努めるとのこと。
《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×