平成３１年１月２９日

各 位

会社名 株式会社ジラフ

代表者名 代表取締役 麻生輝明

Peing-質問箱-に関するお詫びと詳細のご説明（第一報）

この度、株式会社ジラフ（以下「弊社」といいます。）にて運営を行っておりますPeing-質問箱-において、第三者のAPIトークンを用いて該当アカウントの情報にアクセスできる事象が確認されたため、下記２に記載の情報が第三者により閲覧できるなどの状況になっておりました。現段階においては、このような事象は解消されています。
ユーザー様及び関係者の皆様に多大なるご心配とご迷惑をおかけすることになりましたこと、深くお詫び申し上げます。

 

記

1．概要、経緯

平成３１年１月２８日１８時１８分に、ユーザー様よりの問い合わせがあり、社内調査を行った結果、第三者のAPIトークンを用いて該当アカウントの情報にアクセスできる事象が判明しました。この事象によって閲覧可能な情報及び、その情報を用いて可能なこと、現在インターネット上で可能とされているが実際には不可能な事は下記２に別記いたします。
また、当該事象に対する修正対応は、同日２２時１０分に完了しており、現在、当該事象を用いた不正アクセスはできない状態となっております。
弊社は、ユーザー様に安心、安全にPeing-質問箱-を安心してお使いいただけるよう、引き続き調査を実施してまいります。

本件は、弊社が昨年１０月頃に指摘を受けた事項と関連しているという情報がございますが、平成３０年１０月２６日に、外部のセキュリティリサーチャーより指摘を受け、調査を開始し、平成３０年１２月１７日に当該セキュリティリサーチャーより指摘事項の修正が確認された連絡を受け、対応完了としておりました。
弊社といたしましては、他の可能性も検証する必要を感じており、追加にて外部機関による調査を行った上でプレスリリースにて経緯の公表を予定していた中、前回のご指摘に類似する事象を再発させてしまったことにより、ユーザー様に多大なるご心配とご迷惑をおかけすることになりましたこと、深くお詫び申し上げます。

 

2．漏洩した可能性のある情報と件数

・情報：トークンの情報

・件数：調査中

※現段階において漏洩、及び漏洩による被害は確認されておりません。

※調査結果、状況は随時別途発表してまいります。

 

＜トークンの情報を使用して可能なこと＞

可能なことの一部具体例を以下に記載いたします。詳細はこちらのリンクよりご確認ください。

・Peing-質問箱-に登録されているメールアドレスの閲覧

・Peing-質問箱-でハッシュ化されたパスワードの閲覧

・Peing-質問箱-におけるパスワード再発行の際に一時的に発行される仮パスワードの閲覧

・Twitterに登録されているメールアドレス閲覧

・Twitterへの書き込み

・過去に自分で行ったツイートの情報など（非公開ツイートの場合も含む）の閲覧

・相手先を指定したダイレクトメッセージの送付

　　

＜トークンの情報を使用して不可能なこと＞

・Twitterアカウントへのログイン

・Twitterアカウントへログインした上でのアカウント情報の閲覧

・Twitterアカウントへのログインを利用した他サービスの利用

 

3．弊社のセキュリティ対策と再発防止策

＜第三者機関によるセキュリティに関する調査の実施＞
現在実施中である外部機関による調査は、来月2月中頃には完了予定でございます。
調査結果につきましては改めてプレスリリースにて公表することを予定しております。

＜情報セキュリティ強化のための対策＞
定期的な外部機関による調査の実施、不正アクセスの可能性を低減し、
不正や異常を検知しやすい状況を目指すべく検知の仕組みを導入するなどし、
更なる情報セキュリティ管理体制の強化を行ってまいります。

 

4．ユーザー様にご注意いただきたいこと

今後本件に関する状況は、随時弊社コーポレートサイト上よりプレスリリースにて情報を公表してまいります。本件を装ったダイレクトメッセージやメールでの連絡に十分にご注意いただきますよう、お願い申し上げます。
本件に関してのご相談、お問い合わせについては、下記専用窓口へご連絡下さい。

【お問い合わせ窓口】
窓口：Peingトークン情報に関する問い合わせ窓口
メールアドレス：[email protected]
受付時間：平日10:00～19:00

 

5．今後の情報開示について

今後の調査の進捗について、新たにお伝えすべき情報が明らかになり次第、
弊社コーポレートサイト上よりプレスリリースにて情報開示を行ってまいります。

 

以上