平素は セキュリオ をご利用いただき、誠にありがとうございます。
セキュリオ カスタマーサクセスチームでございます。
このたび セキュリオ 安否確認機能において脆弱性を確認し、改修を行いましたことをお知らせいたします。
詳細は以下をご参照ください。
発生期間
2020年11月11日~2021年10月6日
脆弱性の内容
セキュリオ 安否確認機能にて、回答の対象者に送信したメールに記載のURLにアクセスし、安否状況の確認を登録した後に表示される「回答が完了しました」の画面がURLが類推可能なため、他社の回答完了画面にアクセスが可能でした。
この回答完了画面は、組織管理者が「管理者の連絡先」としてメールアドレスや電話番号などを表示しており、他社の表示内容が参照可能でした。
なお、本脆弱性は セキュリオ をご利用のお客様からの報告により判明いたしました。
本脆弱性への対応
- 安否確認機能の回答完了画面において、該当URLを類推不可の文字列に変更しました。
- アクセスログと登録データを照合し、発生期間において不審なアクセス等が存在しなかったことを確認しました。
本脆弱性に対して、お客様での操作などは不要でございます。
また、本脆弱性において、お客さまのデータの漏えいや改ざんは発生しておりません。
お客様にはご迷惑をおかけし申し訳ございませんでした。
今後とも セキュリオ をよろしくお願いいたします。
本件に関するお問い合わせは、お問い合わせフォームよりご連絡ください。