アジャイルウェア、設定不備により個人情報が閲覧可能状態
- 元記事:個人情報流出に関するお詫びとご報告
- HP:アジャイルウェア
| 会社名 | 株式会社アジャイルウェア |
|---|---|
| 株式情報 | 非上場 |
| 漏洩種別 | 流出 |
| 漏洩対象 | Web |
| 漏洩場所 | 社外 |
| 漏洩内容 | 氏名/メール/電話番号 |
| 漏洩件数 | |
| 漏洩日時 | 2021/9/28~2024/2/27 |
| 発表日時 | 2024/3/7 |
アジャイルウェアにて設定不備により個人情報が閲覧可能状態。同社が運営するLychee Redmineのフォーム設定不備により、2021年9月28日から2024年2月27日の期間中に各ページに設置していたトライアルやお問い合わせ等の申込フォームに入力した個人情報が第三者から閲覧できる状態になっていた。
顧客からの問い合わせを受け、当該フォームを閉鎖し調査を開始。調査の結果、対象ページにおいて必要項目が未入力であったとエラーが発生し、かつ、入力エラー発生から30分以内に同ページに第三者がアクセスした場合に顧客の情報が閲覧できる状態となっていたことが確認され、ページキャッシュのクリアおよび該当ページでのキャッシュ無効化を実施。同社は個人情報を閲覧された可能性のある顧客に対しお詫びと説明を行った。なお、影響範囲の特定および再発防止策については検討中であるとしている。
同社は調査の結果、対象の顧客人数が1,210件であること、また、本件について不正アクセス等で発生したものではないため、情報漏洩やデータの改ざんは確認されていないことを公表。対象顧客に対しては個別に連絡するとしている。なお、再発防止策として、フォームを設置しているページはすべてキャッシュを無効化する設定を実施し、セキュリティレベルの高い代替サービスの利用やWebアプリケーション診断など、外部機関による調査を検討するとしている。(2024年3月15日追加)
