この度、弊社が運営する学習サービスShareWis及びWisdomBase(以下「本システム」)の管理者向けユーザー管理機能の不具合により、特定の条件下において、WisdomBaseを導入している企業の管理者ユーザーが、自らの管理下にないユーザーの一部の情報を閲覧できてしまう事象が発覚しました。
このような事態が生じたことについて、深くお詫び申し上げます。
不具合発覚後、即座に修正が完了しており、アクセスログの取得が可能であった2022年9月以降のログを調査したところ、個人情報の流出は確認されていないことをご報告させていただきます。アクセスログが残っていない過去の期間につきましては、調査を行うことができず、流出の有無は確認できておりません。
この度は本システムのご利用者をはじめ関係者の皆様にご迷惑、ご心配をおかけする事態となりましたことを深くお詫び申し上げます。
以下に本事象の詳細をご報告させていただきます。
[1] 漏えい等が発生したおそれがある個人データの項目
WisdomBaseを導入している企業の管理者ユーザーが、自らの管理下にないユーザーの管理者用ユーザー詳細ページのURLを直接入力することでアクセスが可能だったため、ページ上に表示される以下の項目が閲覧可能でした。
- アカウント名
- メールアドレス(登録があった場合)
- ニックネーム(登録があった場合)
- 登録日時
- コース及びレクチャー受講状況
なお、クレジットカード情報やパスワード等のデータは該当のページに表示されていないため、漏えい等のおそれはございません。
[2] 原因と再発防止策
WisdomBaseを導入している企業の管理者ユーザーが閲覧できるユーザー一覧ページには、自らの管理下のユーザーのみが一覧で表示されます。一方で、一覧ページから遷移できる管理者用ユーザー詳細ページについては、本来URLを直接入力した場合であっても、自らの管理下にないユーザーについてはエラーページを表示する処理を実装すべきであってにも関わらず、本システムのプログラムに誤りがあったため、ページにアクセスできる状態が生じておりました。
本事案の発覚後、即座に修正を行い、同様の事象が発生する可能性がないことの確認を完了しています。
[3] 二次被害またはそのおそれの有無
現在のところ二次被害の発生は確認しておりません。今後、何か状況に変化があれば速やかにご連絡いたします。
[4] 本件に関するお問い合わせ窓口
本件に関し、ご不明な点がございましたら、以下の窓口にご連絡をお願いいたします。
support@share-wis.com