【INVOY】顧客情報流出に関するご報告とお詫び（続報3 再発防止策について）

平素よりOLTAおよびFINUX（INVOY）のサービスをご利用いただき誠にありがとうございます。

2023年11月7日（火）に判明した、弊社関連会社（FINUX）が提供するクラウド請求書プラットフォーム「INVOY」において特定の条件に該当した一部のユーザー様の顧客情報が他のINVOYユーザー様から閲覧できる状態になっていた事象について、恒久対応が完了しましたので再発防止策とあわせてご報告いたします。

本事象の解消に向けて2023年11月7日（火）18時10分より緊急メンテナンスのためサービスを一時停止しておりましたが、2023年11月8日（水）2時58分に復旧し、現在は通常通りご利用いただけます。

なお、他ユーザー様が閲覧できる状態にあった可能性がある情報は、ご登録のメールアドレス、ユーザー名、ユーザーの種別と権限（管理者か否か）であり、第一報よりお伝えの通り、クレジットカード情報などやパスワードなど金銭的被害に繋がる情報は含まれておりません。

本件に関するこれまでの経緯は、下記のお知らせをご参照ください。
・2023年11月7日（火）【INVOY】顧客情報流出に関するご報告とお詫び
・2023年11月8日（水）【INVOY】顧客情報流出に関するご報告とお詫び（続報1 サービス復旧）
・2023年11月9日（木）【INVOY】顧客情報流出に関するご報告とお詫び（続報2 影響範囲について）

ユーザー様および関係者の皆様には、大変なご迷惑とご心配をおかけしましたことを改めてお詫び申し上げます。

1. 原因

2023年8月7日（月）に行った「INVOY」のアップデート対応において、当該不具合を引き起こすコードが含まれていたこと、また当該アップデートを本番環境に適用する前に実施すべきチェックが不十分であったことが原因です。
技術的な詳細は以下の通りです。

当該アップデートでは、NuxtのSPAモードからSSRモードを利用するよう変更を行いました。この際、SSR実行箇所でユーザーのリクエスト情報が、同時にログインを行った他のユーザーのリクエスト情報によって上書きされる処理ーーいわゆる「Cross Request State Pollution（クロスリクエスト情報汚染）」ーーが発生したことが原因です。今回のSSR導入は静的ページのレンダリングを目的としたものであり、実際にSSRを行っている箇所は非常に限定的で、今回の事象の対象となるデータが少なかったため、結果的に問題の検知が遅れました。

2. 恒久対応

上記（1. 原因）でご報告している当該不具合を引き起こしたコードが実行されないよう、システムアーキテクチャを変更済みです。
技術的な詳細は以下の通りです。

アプリケーションコードと利用している一部ライブラリに、クライアントで実行される前提のコードが一部含まれることを確認しました。そのためSSRモードではCross Request State Pollutionを起こしやすい状態であると判断し、SPAモードに変更しました。結果、問題となったコードは全てクライアントで実行されるように変更されたため、今後同じ事象が発生することはございません。

3. 再発防止策

問題の検知精度向上のため、各種機能の開発体制の見直しを行いました。
具体的には、以下の通りです。

従来より、リリース対象となる機能については実装を行った担当者とは別の社員によるコードレビューと、回帰テストの実行を行っておりました。
しかし、本件事象においては以下2点から、事前に問題の検出を行うことができませんでした。

①原因となったアーキテクチャ変更に関する技術的知見が必要であったこと
②結果として知見を有する社員が関与する体制となっていなかったこと

これらを踏まえ今後は、一定以上の規模・難易度を伴う開発案件については、アーキテクチャのレビュー、すなわちシステム全体の設計について技術的知見を持つ社員が俯瞰して開発及び確認への関与を強化する体制に見直しました。
また、開発組織の技術力向上のため、引き続き人材登用にも投資を行ってまいります。

以上の対策により、今後はこれまで以上に慎重なチェックを経て新機能を実装してまいります。

本件に関するお問い合わせ

本件に関してご不明な点がございます場合は、下記にお問合せください。
————————————————–
INVOYカスタマーサポート
INVOY
※上記リンクよりチャットにてご質問を承っております。
▼営業時間
平日 10:00～18:00
※土日祝日は休業いたします
————————————————–