この度、HOBBY STOCKのシステムに個人情報に関する以下のような重大な障害が発見されました。
現在は既に復旧しておりますが、この経緯と今後の対策についてご報告致します。
■障害の概要
マイアカウントから決済方法の変更等で、PayPal決済へ遷移し、非常に稀な条件下でマイアカウントに遷移した際、マイアカウント機能側の不具合でユーザ認証機能が正常に動作せず、非会員のユーザー様を対象とし配送が完了していない「配送グループ情報」が表示されました。
■影響
漏えいの可能性のある「配送グループ情報」の件数は331件、当該情報を閲覧した可能性のあるユーザー様は7ユーザー様でした。
表示された「配送グループ情報」が編集不可能であったことと編集されていないことを確認しております。
尚、会員様の「配送グループ情報」及び会員情報の漏えいの可能性は御座いません。
■原因
今回の原因は、2010年9月にPayPal決済を導入した際に実装した機能の不具合によるものです。
■対策
当該不具合が発覚した際、PayPal決済機能のご利用を停止しましたが、原因となったプログラムの改修を行ない、PayPal決済機能のご利用を再開致しました。
実装される各機能仕様検討に際し、多くの例外ケースを念頭に置いた詳細な仕様検討及びテストを行なって参ります。
お客様にはご迷惑とご心配をおかけしまいたことを心よりお詫び申し上げます。
今後、再発の防止に務めて参ります。
2010年12月21日
株式会社ホビーストック 代表取締役 上村貴夫
