事故から学ぶ

TOP > 事故から学ぶ > 同時アクセスによる誤表示, 負荷テスト不足 > 「おそ松さん」特設通販サイトで不具合 – 他会員情報表示

2020/05/22

「おそ松さん」特設通販サイトで不具合 – 他会員情報表示

事故概要

業種	ECサイト
発生時期	2020/05/1
漏えい人数	不明
事故概要	アニメ「おそ松さん」のイベントグッズを取り扱う特設通信販売サイトにおいて、ログイン時に関係ない他利用者の個人情報が表示される不具合が発生した。イベント「おそ松さんミュージアム 6つ子のおきがえパラダイス」向けの特設通販サイトを運営するイーステージによれば、同サイトにおいて会員登録した利用者が同時にログインした際、同一会員と認識される不具合が存在したという。個人情報の入力画面や変更画面に関係ない他会員の個人情報が表示されたほか、決済が完了していないにもかかわらず、「決済完了」などと表示されたり、関係ない購入履歴が表示される状態となった。 5月1日22時に同サイトを停止し、メンテナンスを実施している。詳しい対象件数はわかっておらず、同社では5月3日の時点で4件を確認しているという。注文の内容については、完了時のメールを確認するよう利用者に呼びかけている。また購入特典は、注文日時に関わらず、金額の条件に応じて提供するとしている。
引用元	Security NEXT

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

チェックリストコード：
21-19（第21条）従業者の監督　作業ルールの徹底（ホームページ誤開示防止）

チェックリストにある要求ルール：

ホームページへの情報掲載直後に、アップロードした資料などに個人情報が掲載されていないか、複数の人で確認していますか。
ホームページ掲載時に不適切な掲載がないか、複数の人で確認をしていますか？
システム開発時にデータが関係者以外からアクセスできるようになってたり、不要な情報開示がされていませんか？

■ 推奨対策

対策：

同時アクセス時の誤表示である。システムリリース後に発覚するバグがあったもので、負荷テストが不足である。

具体例：

同時アクセスを模した負荷テストは、開発時のリソース次第になるため、実際は数台のPCで同時ログインしてサーバに負荷のかかるリクエストを行うレベルで終わらせることが多い。負荷テストの専門業者もあるが非常に高額であるため、テストを省略してしまう実態がある。
いわば手抜きで個人情報漏えい事故を起こした罪は重い。
打開策として、同時ログイン数の制御するプログラムを仕込んでおくことも一考である。