平素は格別のお引立てを賜り、厚く御礼申し上げます。
この度、2024年1月3日に障害発生した際に原因としてご案内、及び2024年1月4日にもご案内しました
掲載内容での「セキュリティ欠陥」の具体的な内容、及び調整内容、発生原因等についてお知らせします。
まずはじめに、会員の皆様、関係者の皆様の情報が流失等した事実は
確認しておりませんので事前にその旨をご案内します。何とぞご認識
いただけますようお願いします。
※仮に欠陥対象条件に該当した場合は弊組織代表者の情報が配信された可能性はありますが、
少なくとも現時点において、弊組織組織員や会員の方の情報が漏洩した等はございません。
順番に今回セキュリティ欠陥と定義した内容、修正内容、発生原因をお知らせします。
まず今回セキュリティ上の欠陥と定義した内容ですが、本来一般からのアクセスにおいて
弊組織が採用するCMSの管理バーが表示されないのが通常ですが、今回ログイン済み状態
において、弊組織ホームページを確認したところCMSの管理バーを含む状態で意図しない
キャッシュが保存され、当該キャッシュデータが配信されました。
(ログイン済みの状態でキャッシュされたURIを他環境から閲覧したところ、
ログイン状態を示す管理バーが表示されていることを実際に確認しています。)
具体的なページについては切り戻し反映が完了するのはDNSの仕組み上で環境によりましては
現在もCDNから配信されている可能性があるため詳細は差し控えますが弊組織のWebサイト内
にて発生していたものです。
※なお、現時点で本件を理由としたサイト改ざん等も確認はしておりません。
※本来表示されない管理バーが表示された以外のセキュリティ欠陥の発生はありません。
※後日弊組織ホームページの脆弱性診断を実施します。診断結果は後日お知らせします。
次に発生経緯につきましてですが、こちらはメンテナンス作業の詳細に抵触する恐れが
ありますので、ご案内できる内容か限られますが外部CDNを導入し、最近発生していた
DDoSによるアクセス障害を解消する為に緊急導入したものとなります。
調整内容としては2024年1月3日に実施させていただきましたが対策不十分であることが
判明しており、2024年1月4日に後述として記載もありますが切り戻しを行い今回は一旦
採用を見送ることといたしました。
2024年1月3日に一度通常では表示が行われないデータのキャッシュしないなどの設定を
実施いたしましたが、障害発生時の調整では不十分であった事が確認され事実上として
切り戻しを行い、二次被害を防止する形を取らせていただきました。
今回の発生原因として上記のように調整が不十分であったことが確認できております。
弊組織グループにおいて、適切な調整を実施・検証し本導入させていただく次第です。
弊組織において、掲載している内容以外のセキュリティ上欠陥は確認しておりませんが
弊組織運営サービスを含んだ脆弱性の報告は専用フォームにて承っております。
直接第三者機関に報告される前に一度弊組織での対策可否を確認するため
弊組織グループまで直接のご報告をお願いします。
※事前ご連絡のない脆弱性に関するお問い合わせには対応できません。
以上、宜しくお願い致します。