平素は セキュリオ をご利用いただき、誠にありがとうございます。
セキュリオ カスタマーサクセスチームでございます。
セキュリティアウェアネス機能において、特定の条件下で他社のグループ・ユーザーの情報の一部が閲覧できてしまう不具合が発生しておりました。
この度はご不便をおかけしておりましたこと、誠に申し訳ございません。
発生期間
2023年8月9日 〜 2026年6月24日 14:27
発生事象
セキュリティアウェアネス機能の配信設定画面において、本来表示されるべきでない他社のグループ及びそのグループに所属するユーザーの情報が画面上で閲覧可能となる不具合が発生しておりました。本事象はセキュリティアウェアネス機能のみで発生しております。
発生条件
以下のすべての条件に該当する限定的なケースにおいて、本事象が発生しておりました。
- 閲覧者が組織管理者ではない
- 閲覧者が「セキュリティアウェアネス管理」の「追加・編集・削除」の権限を持っている
- 閲覧者に付与された権限の「権限内のグループアクセス制限」が、「すべてのユーザー」ではなく「自分が所属するグループとその配下のグループ」に設定されている
- 閲覧者が所属するテナントの設定で「グループアクセス制限」が有効になっている
- 閲覧者が2つ以上のグループに所属している(1つのみの場合は発生しない)
- 「閲覧者が所属するグループ名」と完全一致する他社のグループ名があり、その他社のグループに配下のグループがありユーザーが所属している
文中で使用している言葉の定義
- 閲覧者:セキュリオにログインし、他社のグループ・ユーザーの情報が閲覧できる状態にあったユーザー
- 被閲覧者:閲覧者によって見られた可能性のあるユーザー
閲覧可能となっていた情報
- (閲覧者から見て他の組織の)グループ名(グループ階層)
- (閲覧者から見て他の組織の)ユーザーの氏名・メールアドレス
なお、要配慮個人情報は含まれておりません。
原因
調査中です
対応
不具合の解消
- 2026年6月24日 14:27に修正版をリリースし、現在は他組織の情報が表示されない正常な状態に復旧しております
本事象による二次被害、また同様の不具合がないかの確認
- セキュリティアウェアネス機能の配信対象者の選択画面にて、他社のユーザーが選択できる状態だったため、実際に他社のユーザーが含まれた配信履歴がないかを確認し、対象が0件であることを確認しました
- 同様の事象が他の画面・機能で発生していないかどうかの横断的な調査は、現在進行形で進めております
不具合の影響を受けた可能性のあるお客様の特定
- 影響を受けた可能性のあるお客様(被閲覧者となった可能性のあるユーザーが在籍するお客様)の特定は、現在調査中です
再発防止策
調査とあわせ検討中です。
本事象に関するお問い合わせについて
本件に関するお問合せにつきましては、リクエスト(お問い合わせ)フォームよりお願いいたします。