双日テックイノベーション株式会社は4月23日、同社が提供する「おべんとね!っと」での個人情報流出について発表した。
これは「おべんとね!っと」でアクセス制御の実装が不適切であったため、ユーザ管理者様のアカウントで一定の条件の下、自組織以外の利用者のメールアドレスや会員IDの一部を閲覧できる状態であったというもの。
「おべんとね!っと」の基盤として用いている同社委託先の株式会社インターファクトリーが提供するECプラットフォーム「EBISUMART」のアップデートで追加された「ブロックアドレス検索/一覧」機能という、ブロックアドレス(同社が送信するメールが届かなかったメールアドレス)を検索し、閲覧することができる機能にて、ユーザ管理者の閲覧権限に関するアクセス制御が適切に実装されていなかったため、ユーザ管理者のアカウントで、自組織以外の利用者のブロックアドレスが閲覧可能な事象が発生していた。
発生期間は2023年10月31日午後10時16分頃から2026年4月3日午後6時51分頃で、閲覧された可能性があるのは、会員ID22,914件とブロックアドレス12,883件。
インターファクトリーでは2023年10月31日に、定期更新で「ブロックアドレス検索/一覧」をリリースしたが、その際のアクセス制御の実装が不適切であったため同事象が発生し、2026年4月3日に顧客から双日テックイノベーションに問い合せがあり、発覚した。
双日テックイノベーションでは2026年4月3日に、一次対応としてインターファクトリーに修正対応を要請し、同日中に修正完了の報告を受領している。
双日テックイノベーションによる調査の結果、現時点で下記が判明しており、閲覧された可能性のある情報に含まれるメールアドレスがブロックアドレスであったことから、深刻な被害が生じる可能性は極めて低いとしている。
・ブロックアドレス検索/一覧機能を利用されたことのあるユーザ管理者のアカウントは総数約4,400アカウント中32アカウント。
・ブロックアドレス検索結果をダウンロードする機能は一度も使用されていないことを確認している。
・現時点で、閲覧された可能性のある情報の悪用は確認されていない。
・本件事象に起因する被害に関する報告を受けていない。
双日テックイノベーションでは今後、同様の事象の再発を防止するため、社内チェック体制の強化を図り、下記の事項を実施のうえ、再発防止に努めるとのこと。
・インターファクトリーによる新規画面作成時および利用者情報を扱う機能の開発時の設計工程に、利用会社管理アカウントごとの操作可否(閲覧、ダウンロード、更新、削除等)を定義し、各操作に対する権限制御を設計が適切に反映されているかをインターファクトリーの標準仕様書作成チェック項目に設定する。
・インターファクトリーによる個人情報の表示に関わる機能の新規及び既存機能開発の際は、機能リリース前のテスト環境にて、双日テックイノベーションが事前に機能を確認し、承認するプロセスを徹底する。
