漫画全巻ドットコムマイページに他の会員様の個人情報が表示されてしまう事象に関するご報告とお詫び

更新日: 2024-07-12 15:00

平素より漫画全巻ドットコムをご利用いただき誠にありがとうございます。

2024年7月6日(土)、漫画全巻ドットコムのマイページにて、ログインしているお客様とは別のお客様の個人情報が表示される事象が確認されました。

調査の結果、特定の条件に該当したお客様にこの事象が発生することを確認し、2024年7月9日(火)に恒久的な対応をいたしました。今後、この事象が発生することはございません。

マイページ上に表示されたお客様の個人情報は、「氏名」と「メールアドレス」および「保有ポイント数」です。サーバーからの応答には、上記のほかに「住所」「電話番号」「性別」も含まれていましたが、マイページ上には表示されませんでした。また、サーバーからの応答には、クレジットカード情報やパスワードなど、お客様の金銭的被害に繋がる情報は含まれておりません。

本事象は、お客様より、マイページにて別のお客様の個人情報が表示されているというご連絡を頂戴したことで判明しましたが、当社の調査によって本事象の発生が確認されたのはご連絡を頂戴した1件のみです。

この度の事態により、皆様にご迷惑およびご不安をおかけしましたこと、深くお詫び申し上げます。今後とも、お客様の信頼を回復できるよう、全力を尽くしてまいります。

原因

2022年6月20日に行った漫画全巻ドットコムのマイページのアップデートにおいて、本不具合の原因となる、当社TORICOの技術開発担当者が開発したコードが反映されたことが原因です。本不具合はサイバー攻撃や人為的な情報漏洩を原因とするものではございません。

技術的な詳細

当アップデートでは、マイページで表示するお客様の情報をサーバー側でHTMLソースコードに挿入し、お客様のお使いのブラウザに返却するようになっていました(サーバーサイドレンダリング(SSR))。

この処理は、複数あるサーバーの中の1つの Nuxt プロセスに割り当てて行われますが、その処理が完了する前に、全くの同一タイミングに行われた新たなマイページへのリクエストが同じプロセスに割り当てられた際、お客様に返却する前のメモリ上のお客様の個人情報(氏名、メールアドレス、保有ポイント数、住所、電話番号、性別)が他のお客様の情報で上書きされる現象 (cross-request state pollution (クロスリクエスト状態汚染)) が発生しておりました。

使用フレームワークにおいてのコンピューターのメモリの取り扱いの認識が不十分であり、また開発部門においてアップデート内容の検証が不十分であったことが、このようなアップデートを適用してしまった原因です。

今回の問題の発生個所は非常に限定的であり、非常に低確率での発生となるため、アップデートの反映から問題の発見までに長い時間が経過しました。

対応内容

2024年7月9日(火)に、当該コードを修正し、アップデートを適用いたしました。今後、同様の事象は発生いたしません。

技術的な詳細

該当コードにおいて、個人情報をサーバーサイドレンダリング(SSR)より返却する処理を撤去しました。お客様の個人情報がサーバーサイドの Nuxt プロセスを通過しないようにし、クライアントサイド(ウェブブラウザ) からサーバーAPIにリクエストを行い、クライアントサイドでウェブページを構築する処理に変更いたしました。