平成31年2月22日

各位

会社名　株式会社ジラフ
代表者　代表取締役 麻生輝明

Peing-質問箱-における情報漏洩についてお詫びとご説明（最終報）

この度、株式会社ジラフ（以下「弊社」といいます。）にて運営を行っておりますPeing-質問箱-において、第一報、第二報のとおり、第三者のAPI認証を用いて該当アカウントの情報にアクセスできる事象が確認されたことにより、ユーザー様及び提携先企業の皆様、関係者の皆様には多大なるご心配とご迷惑をおかけしましたことを、心よりお詫び申し上げます。

情報漏洩の可能性があることが判明したため、本件を公表し、発生の原因について、詳細な調査を進めてまいりました。
この度の経緯ならびに第三者機関による調査の結果、再発防止策等について以下の通りご報告いたします。

 

記

1．情報漏洩の発生と対策の経緯
本件の発生と対応の経緯は以下の通りです。

 

2．漏洩した情報の詳細と件数
本件第二報の2に記載のとおりです。

 

3．情報漏洩の原因
１に記載の経緯の通り調査を進めた結果、原因は以下の通りです。
本来ホワイトリスト形式で取り扱うべきであった情報を、ブラックリスト形式で管理していたことにより、秘匿とするべき情報が、理論上閲覧可能な状況となっていたことが今回の情報漏洩の可能性を引き起こした原因であり、該当問題に対する修正は同じく1に記載の経緯のとおり完了しております。

 

4.ユーザー様へのお願い
Peing-質問箱-、またはPeing-質問箱-と連携している上記2に記載のサービスと同一のメールアドレス、パスワードを用いて他のサービスを利用されている方は、二次被害防止の為、該当サービスにてログインパスワードを変更いただきますようお願い申し上げます。
また、本件を装ったダイレクトメッセージやメールでの連絡にも十分にご注意いただきますよう、重ねてお願い申し上げます。

なお、漏洩した可能性のあるパスワードはハッシュ化されており、同時に漏洩した可能性のあるsalt情報と合わせて特定の方法を用いてパスワードを解析することが理論上可能な状況となっておりましたが、一般的に容易な方法では解析不可能な状況でございます。

本件に関してのご相談、お問い合わせについては、下記専用窓口へご連絡下さい。

【お問い合わせ窓口】
　窓口：Peingトークン情報に関する問い合わせ窓口
　専用お問い合わせフォーム：https://goo.gl/forms/SUiigLKMrTw3Rqc22
　電話番号：070-1386-4298
　メールアドレス：[email protected]
　受付時間：平日10:00～19:00
　※繋がりにくい場合はお手数ですが専用フォームよりお問い合わせ願います。

今後ユーザー様からの問い合わせにより、被害が確認された際は、
直ちに警察など必要な外部機関と連携し、適切に対応を進めてまいります。

 

5．実施対策と再発防止策

2019年1月31日のサービス再開までに外部に公開されるAPIに関して全てホワイトリスト形式で結果を出力するように変更し、静的コード解析で機械的なチェックを実施できるように環境を構築いたしました。

また、1に記載の通り、情報セキュリティを専門とする会社に業務を委託し、脆弱性診断を実施し対応をしております。

今後も定期的な外部機関による調査の実施、不正アクセスの可能性を低減し、不正や異常を検知しやすい状況を目指すべく検知の仕組みを導入するなどし、更なる情報セキュリティ管理体制の強化を行ってまいります。

情報が漏洩した可能性のある皆様には、大変なご迷惑とご心配をおかけしますことを、深くお詫び申し上げます。
今後このような事態を起こさないよう、情報セキュリティ対策を強化していく所存でございます。

 

以上