2025年6月24日、弊社が外部のセキュリティ診断会社に依頼して実施した脆弱性診断により、
「任意のユーザーが他組織に参加し、当該組織の名称・利用者名・メールアドレスを閲覧できてしまう」という脆弱性が存在していたことが判明いたしました。
本件により、ユーザーの皆様には多大なご迷惑とご心配をおかけしましたことを、深くお詫び申し上げます。
なお、議事録の本文や添付ファイルにつきましては、閲覧には適切な権限が必要となるため、本件によって第三者に漏洩することはございません。
以下に、当該脆弱性の詳細、影響範囲、対応内容、および再発防止策についてご報告申し上げます。
また、本脆弱性は2025年6月26日13:45にリリースした修正バージョンにて解消されておりますことも、併せてご報告いたします。
本ご報告の末尾にて、皆様にご対応をお願いしたい重要なご案内がございます。
大変お手数ではございますが、最後までご一読くださいますようお願い申し上げます。
1. 事象の概要
本脆弱性は、特定の操作とリクエストの改ざんにより、攻撃者が他組織にユーザーとして参加し、当該組織の利用者情報(名前・メールアドレス)を閲覧できてしまうというものでした。以下は、その一例となる手順です。
- 1. 攻撃者が、自身が管理する任意の組織にユーザーを作成
- 2. その組織からメンバーをCSVでインポートする操作を実施
- 3. この際、送信リクエストを改ざんし、メンバーのインポート先を攻撃対象の組織に変更
- 4. 改ざんリクエストにより、攻撃者ユーザーが攻撃対象組織のメンバーとして追加される
- 5. 結果として、攻撃対象組織のメンバーリスト(名前・メールアドレス)が閲覧可能となる
※議事録本文や添付ファイルの内容は閲覧可能となっておらず、情報漏洩は発生しておりません。
※本脆弱性は、通常の画面操作のみでは発生しません。リクエストの改ざんを伴う悪意ある操作が必要です。
2. 影響範囲
- ◾︎ 発生期間:
2018年3月12日(GIJI v1.1.0リリース)〜2025年6月26日(修正リリース) - ◾︎ 影響を受けた可能性のあるユーザー:
2025年6月26日までに、GIJIをご登録・ご利用いただいていたすべてのユーザー様
なお、実際にこの脆弱性が悪用された形跡は現在のところ確認されておりませんが、引き続き調査を継続しております。
3. 対応内容
本事象を受け、以下の対応を実施いたしました。
- ◾︎ メンバーインポート機能における権限チェックの見直しと修正
- ◾︎ 脆弱性の修正を含むパッチのリリース(2025年6月26日13:45)
4. 再発防止策
同様の問題が再発しないよう、以下の施策を実施・強化しております。
- ◾︎ 外部セキュリティ診断会社による定期的な診断体制の構築と継続的な実施
- ◾︎ 機能開発・改善時におけるセキュリティレビューの強化
今後も継続して、セキュリティ品質向上と信頼性確保に努めてまいります。
5. ご利用中の組織に関するご確認と対応のお願い
当該脆弱性の影響により、本来の利用者以外のユーザーが組織にメンバーとして追加されていた可能性がございます。
そのため、大変お手数ではございますが、ご利用中の組織に所属するメンバー一覧をご確認いただき、身に覚えのないユーザーが存在する場合には、速やかに削除していただきますようお願い申し上げます。
なお、ご不明な点や操作に関してご不安な点がございましたら、下記のお問い合わせ先までご連絡いただけますようお願いいたします。
改めまして、本件によりご迷惑・ご心配をおかけしましたこと、深くお詫び申し上げます。
今後は同様の問題が再び発生しないよう、細心の注意を払って運用・改善に取り組んでまいります。
本件に関するお問い合わせ先
株式会社アジャイルウェア
GIJI事務局
support@giji.io