平素は セキュリオ をご利用いただき、誠にありがとうございます。
セキュリオ カスタマーサクセスチームでございます。
セキュリティアウェアネス機能において、特定の条件下で他社のグループ及びそのグループに紐づくユーザー情報の一部が閲覧できてしまう不具合が発生しておりました。
この度はご不便をおかけしておりましたこと、誠に申し訳ございません。
発生期間
2023年8月9日 〜 2026年6月24日 14:27
発生事象
セキュリティアウェアネス機能の配信設定画面において、本来表示されるべきでない他社のグループ及びそのグループに所属するユーザーの情報が画面上で閲覧可能となる不具合が発生しておりました。本事象はセキュリティアウェアネス機能のみで発生しております。
発生条件
以下のすべての条件に該当する限定的なケースにおいて、本事象が発生しておりました。
- 閲覧者が組織管理者ではない
- 閲覧者が「セキュリティアウェアネス管理」の「追加・編集・削除」の権限を持っている
- 閲覧者に付与された権限の「権限内のグループアクセス制限」が、「すべてのユーザー」ではなく「自分が所属するグループとその配下のグループ」に設定されている
- 閲覧者が所属するテナントの設定で「グループアクセス制限」が有効になっている
- 閲覧者が2つ以上のグループに所属している(1つのみの場合は発生しない)
- 「閲覧者が所属するグループ名」と完全一致する他社のグループ名があり、その他社のグループに配下のグループがありユーザーが所属している
文中で使用している言葉の定義
- 閲覧者:セキュリオにログインし、他社のグループ・ユーザーの情報が閲覧できる状態にあったユーザー
- 被閲覧者:閲覧者によって見られた可能性のあるユーザー
閲覧可能となっていた情報
- (閲覧者から見て他の組織の)グループ名(グループ階層)
- (閲覧者から見て他の組織の)ユーザーの氏名・メールアドレス
なお、要配慮個人情報は含まれておりません。
原因
権限・グループアクセス制限の制御の実装不備によって発生しておりました。
対応
不具合の解消
- 2026年6月24日 14:27に修正版をリリースし、現在は他組織の情報が表示されない正常な状態に復旧しております
本事象による二次被害、また同様の不具合がないかの確認
- セキュリティアウェアネス機能の配信対象者の選択画面にて、他社のユーザーが選択できる状態だったため、実際に他社のユーザーが含まれた配信履歴がないかを確認し、対象が0件であることを確認しました
- 同様の事象が他の画面・機能で発生していないかどうかの横断的な調査は、現在進行形で進めております
不具合の影響を受けたお客様の特定と通知
- 本不具合の誤表示により、他社の情報を閲覧できていたユーザーが2名いることを特定しました
- この2名はそれぞれ別の組織のユーザーで、うち1名は本不具合をご報告いただいたお客様でした
- この2名のお客様に対しては、実装不備による誤表示が発生した情報を破棄いただけているかどうか、確認を進めております
- 誤表示により上記2名から閲覧されたお客様への個別通知
- 該当するお客様へ個別にご連絡をさせていただきます
- 本件に関する個別の連絡がないお客様につきましては、本不具合の影響対象外となります
再発防止策
調査とあわせ検討中です。
本事象に関するお問い合わせについて
本件に関するお問合せにつきましては、リクエスト(お問い合わせ)フォームよりお願いいたします。