事故から学ぶ

スタディサプリ 中学講座|システム不備に伴うお詫びとお知らせ スタディサプリ

事故概要

業種 民間企業
発生時期 2022/8/10
漏えい人数 2965
事故概要

いつもスタディサプリをご利用いただきありがとうございます。

『スタディサプリ 中学講座』(以下、中学講座)において、当社のシステム不備に伴い、一部学習者様が他学習者様のアカウントにログインできてしまう事象が発生していたことが判明いたしました。

尚、誤ってログインが行われた際に表示される情報に、氏名やメールアドレスといった個人を特定できる情報やクレジットカード情報は含まれておりません。

大切な情報をお預かりしているにも関わらず、このような事態に至り、深くお詫びを申し上げます。

他学習者様から誤ってログインされたことが判明した学習者様で、現在スタディサプリの会員様には、事務局よりスタディサプリ内の「スタディサプリからのお知らせ」とサポートWebにご登録いただいているメールアドレス宛へご連絡をしております。

経緯・対応について以下の通りお知らせいたします。

1. 経緯
2022年8月10日(水)に学習者の保護者様からのお問い合わせにより、中学講座において、一部『スタディサプリ』の他学習者様としてログインできてしまう状態となっていること(事象①)が判明しました。
原因の究明を行い、2022年8月22日(月)に原因を特定し、事象の解消を行うとともに対象範囲の調査を行いました。 調査を行う中で、2022年8月29日(月)に、ひとつの端末で複数の学習者様が利用されていた場合、特定のログアウト操作を行わないと同端末利用の他学習者様がログインできてしまう事象(事象②)が起きていることが判明しました。
事象②の原因は特定しておりますが、解消までに時間を要するため、暫定対応と学習者様への注意喚起を実施いたします。 事象②の解消目途は、2022年10月末頃となる見込みです。

▼時系列
2022年8月10日(水)
学習者の保護者様からの問い合わせにより、事実確認を開始
2022年8月22日(月)
事象①の原因を特定・事象の解消、対象範囲の調査を開始
2022年8月29日(月)
調査を進める中で、事象②が判明
2022年8月31日(水)
事象②の暫定対応を実施
2022年9月7日(水)
プレスリリース、スタディサプリサービスサイト・Webブラウザ版、メールにて学習者様への注意喚起を開始

2. 対象サービス
『スタディサプリ 中学講座』

3. 事象・原因
■前提
事象①、②ともに、Webブラウザ版のみで発生しており、スマートフォン・タブレット用のアプリでは発生しておりません。
『スタディサプリ』には小中高講座と中学講座の2つのアプリケーションがあり、それぞれにログインする仕組みです。

■事象①
システム設計の不備により、『スタディサプリ小学/中学/高校・大学受験講座』(以下、小中高講座)にのみログインしている状態で中学講座の特定のURL※にアクセスした場合に、他の学習者様として中学講座にログインできてしまい、「プロフィール画面」の学校情報などの閲覧・編集と、サービス内の学習コンテンツを利用できる状態になっておりました。
※特定のURL:通常のログインで使用する以外のURL

■事象②
中学講座の学習者様が小中高講座でログアウトまたはパスワードリセットを行っても、システム設計の不備により中学講座のログアウトがされない不具合が発生しました。不具合発生後、他学習者様が同一端末で中学講座を利用された際に、その前に利用されていた学習者様のアカウントで操作が可能な状態でした。

4. 本事象により発生した影響(事象①、②とも共通)
【他学習者様からログインされた方 対象:中学講座の学習者様】
・学校情報や教科書情報など以下(6. 閲覧・編集された可能性のある情報)に記載の項目が他学習者様に閲覧・編集されてしまう
・講座情報やホーム画面、学習履歴メールなどで実態のない学習履歴が表示される
・プロフィール情報や学習履歴が他学習者様によって変更され、ご自身が登録した情報と異なる教科書や学年の講座がミッション※に表示される
※ミッション…学習者様の学校進度や学習履歴に応じて学習すべき内容を提案する機能

尚、学校・団体契約のサービスをご利用されている方におかれましては、他学習者からのログインは確認されておりません。

【他学習者様のアカウントでログインしてしまった方 対象:小中高講座、中学講座の学習者様】
・他学習者様の中学講座アカウント内でプロフィール情報の修正や学習を進めてしまった場合、その修正内容や学習履歴がご自身のアカウントに反映されない

5. 本事象の対象となる可能性がある学習者様
■事象① 対象期間:2022年1月31日(月)~8月22日(月)
【他学習者様からログインされた方】
1754人(退会者除く)

【他学習者様のアカウントでログインしてしまった方】
1211人(退会者除く)

■事象②
【他学習者様からログインされた方】・【他学習者様のアカウントでログインしてしまった方】
本事象の対象であることを確認するためのデータが完全には残っていないため、正確な対象者の特定をすることができません。

※事象①、②ともに退会者は対象者を確認するために必要なデータが削除されているため、特定をすることができません。

6. 閲覧・編集された可能性のある情報(事象①、②とも共通)
▼他学習者様によって、直接変更が加えられた可能性がある項目
<学習ページのプロフィール画面>
・在籍する学校情報
└在籍する中学校がある都道府県
└在籍する中学校がある市区町村
└在籍する中学校名
・使用している教科書情報
・ミッションの教科設定
<設定画面>
・効果音を鳴らすの設定
<定期テスト>
・定期テストの日付

▼他学習者様のサービス利用によって変更されてしまった可能性がある項目
・学習履歴(ミッション進捗も含む)

▼他学習者様に閲覧のみされてしまった可能性がある項目
・入会コース
・学年

7. 対応状況
■事象①
発生原因となったシステム不備については修正いたしました。再発しないことを確認し、2022年8月22日(月)時点で解消しております。

■事象②
恒久対応は、10月末頃を予定しています。その間の暫定対応として、定期的に異なるアカウントでのログインを検知し、ログアウトする仕様を2022年8月31日(水)に実装しております。
また、2022年9月7日(水)より、スタディサプリ内で中学講座ログアウト時の注意喚起のお知らせを開始しております。引き続き、事象②の解消に向けて対応を進めてまいります。

8. 学習者様にお願いしたいこと
1)メール・お知らせのご確認
事象①で他学習者様から誤ってログインされたことが判明した学習者様には、9月7日にスタディサプリ内の「スタディサプリからのお知らせ」とサポートWebにご登録いただいているメールアドレス宛へご連絡をしておりますのでご確認ください。

2)設定内容・学習履歴のご確認
事象①②の影響で、他学習者様から誤ってログインされた場合、他学習者様のアカウントに誤ってログインしてしまった場合いずれも、設定内容・学習履歴がご自身の認識と異なっている可能性があります。異なる箇所につきましては修正をお願いいたします。当社では操作された方の特定ができないため、修復することができません。ご迷惑をおかけいたしまして、誠に申し訳ございません。
修正に関するご不明点等がございましたら、「10.本件に関するお問合せ先」をご確認の上、お問い合わせください。

3)『中学講座』ログアウト時の注意点のご確認
事象②の解消は10月末頃を予定しております。解消されるまで『中学講座』をログアウトする際は、『小中高講座』ではなく、必ず『中学講座』のページからログアウトを実施してください。
特に、複数の学習者様が同じ端末でご利用されている場合はご注意ください。
ログアウト手順の詳細につきましては、以下のFAQページをご覧ください。
https://help.studysapuri.jp/InfoFaqCustomer/s/article/000002105

9. 再発防止策
改めて開発の検証過程におけるサービス内関係者での確認の徹底、検証パターンの拡充を進め再発防止に努めてまいります。

10. 本件に関する学習者様・保護者様のお問い合わせ先
本件についてご不明点などございましたら、「コード(S-000176)」をご記載の上、以下の問い合わせフォームにてお問い合わせください。

▼スタディサプリ お問い合わせフォーム
https://studysapuri.jp/info/inquiry/customer/

引用元 スタディサプリ

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

チェックリストにある要求ルール:

■ 推奨対策

対策:

具体例:

タグ

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。