5月21日配信の一部のファンドの再受付についてで当社システムの不具合についてお知らせさせていただきましたが、当社にて実施した調査に基づき詳細をご報告いたします。
当社システムでは、お客様からのアクセスによるコンテンツ配信の効率化を実現するため、また、DDoS 攻撃やWebアプリケーションを狙った不正アクセス対策としてCDN(コンテンツ配信ネットワーク)を導入しております。
セキュリティ強化の観点などからCDNの切り替えの検討を進めており、5月19日13時30分過ぎ、CDNの切り替えを実施いたしました。新たに導入したCDNの機能では、異なるユーザーが同一のURLに対して同時にアクセスを行った場合、サーバーから別のユーザーの情報がレスポンスされる可能性があり、当社システム側でこの挙動が回避されるよう設定を施す必要がありました。
今回の不具合では、当社システム側での設定が不十分だったことに加え、当社システムにおいて採用しているユーザー識別の仕組みとも関連した複合的な要因により、CDN切り替え以降に投資申込みが可能であった下記3ファンド(以下、対象ファンド)にかかるお客様からの投資申込みに関して、お客様の注文意向を正しく反映できない可能性のある事象が発生いたしました。CDNを戻す対応の実施後、当社システムの複数のログを元にお客様の注文意向を判別するよう試みましたが、判別に至ることができませんでした。
本事象の影響範囲(注文意向を正しく反映できなかった可能性のあるお客様)は最大で294人です。
対象ファンド
さらに、今回の不具合により、5月19日13時30分から5月20日21時30分の間にログイン履歴のあるユーザー(ユーザーA)がFundsのWebサイトにアクセスした際、他のユーザー(ユーザーB)がユーザーAと同一のURLに対して同時にアクセスを行った後、マイページにアクセスすることで、ユーザーAの氏名や生年月日、ご連絡先等のマイページ上で確認可能な情報を閲覧できた可能性のあることが判明いたしました。なお、マイナンバーや本人確認書類、パスワード等、マイページに表示されない情報が他のユーザーに閲覧された可能性はございません。
本事象の影響範囲(ユーザーAにあたるお客様)は最大で995人です。
影響可能性のあるお客様には5月21日12時46分頃にメールにてご連絡しております。さらに、5月25日15時までにFundsカスタマーサポートより別途メールをお送りいたします。
なお、本事象は複数のユーザーが同一のURLに対して同時にアクセスを行った場合に生じる可能性がある事象であり、実際に他のユーザーが閲覧に至る可能性は限定的であったと考えております。しかしながら、事象の特性上、正確な対象人数を特定するのは困難であることから、最大人数を掲載しております。
今回の不具合は、CDNの切り替えに起因していると判断し、5月20日20時10分頃、当社システムにおけるCDNを切り替え前のものに戻す対応を行いました。さらに、事象に応じて以下の対応を実施しております。
対象ファンドについて注文意向の確認を改めて行うため、下記日時にて再度の申込受付を実施。
5月20日21時30分頃、Fundsにログイン中のユーザーを一括ログアウトする処理を実施。
これにより他のユーザーのマイページ上の情報が閲覧可能な状況は完全に解消しております。また、上記処理の実施後、マイページ上の情報の変更履歴を確認したところ、改ざんの可能性は認められませんでした。
今回の不具合は、前述のとおり、当社システムにおけるCDNを切り替え前のものに戻すことにより復旧されております。
今回の再発防止措置として、CDNを当社システムに組み込む際、事前にCDNの挙動と当社システムにおいて要求する動作を明確にし、検証計画に基づく検証を実施した上での導入を検討するなどの改善を実施いたします。
この度は多くのお客様に多大なるご迷惑とご心配をおかけしたことを重ねてお詫び申し上げるとともに、お客様のご不安の解消と今後の再発防止に努めてまいります。
本件に関するご質問・ご意見につきましては、こちらのお客様問い合わせ口よりお願いいたします。
貸付ファンドのオンラインマーケット
Funds(ファンズ)
貸付ファンドのオンラインマーケットFundsは、ファンズ株式会社が運営を行っております。
ファンズ株式会社 第二種金融商品取引業 関東財務局長(金商)第3103号
一般社団法人第二種金融商品取引業協会 加入
©Funds, Inc.All Rights Reserved.