事故から学ぶ

TOP > 事故事例一覧 > クラウド請求書「INVOY」、システムテストが甘く利用者情報が漏洩

2023/11/10

クラウド請求書「INVOY」、システムテストが甘く利用者情報が漏洩

業種	ITサービス
発生時期	2023/8-2023/11/9
漏えい人数	未発表
事故概要	与信関連サービスを展開するOLTAは、クラウド請求書プラットフォーム「INVOY」で利用者情報が流出した。 ■事故の概要同社によれば、2人以上のユーザーがほぼ同時にログインすると別の利用者情報を閲覧できる状態が発生したという。対象となる情報は、ユーザー名、ユーザーID、登録メールアドレス、登録日時、契約プラン、パートナーコード、請求書の発行枚数、ユーザーの種別と権限など。
引用元	Security Next

事故の原因はチェックリストの下記項目が該当すると推察します。

■原因：
8月7日に実施したアップデートに不備があった。
本番環境適用前のテストが甘く漏えいするほど不十分だった。
10月にユーザから通報があったが内容把握ができず放置していた。

本番リリース前テストは、単一ユーザの動作確認以外に、漏えい防止を視点にしてネットワークテストを行うこと

■対策
いまのシステムはネット越しに複数ユーザがログインして操作するため、本番リリース前テストは、単一ユーザの動作確認だけでは漏えい防止策としては不十分である。この警鐘は20年以上前から言われている重要なファクターであるが、守れない社風の改善が必要である。

今後注意します、で終わらせることなく、動作確認より高いレベルで情報漏えい防止確認テストを行う仕組みを取り入れること。