弊社のサービスAILEE(エイリー)において、2022年12月8日(木)にシステムの問題が確認されたため、サービスを停止しておりました。
この度、システムの問題の詳細を確認し、その問題を解消致しました。
今回の問題における不正アクセス等は今のところ確認できておりません。
今後はこのようなことがないように再発防止に万全を期してまいります。
この度は、ご利用の皆様には、多大なご迷惑とご心配をおかけしましたこと、重ねて 深くお詫び申し上げます。
本件に関するシステム問題の詳細2022年12月19日
AILEEのシステムに関する問題と対応
2022年12月7日(水)12:00よりβ版としてローンチいたしました「AILEE」において、システム開発用の検証ツールからTwitterに関するトークン情報が閲覧できる状況にあったことが判明いたしました。
本事象について社内で確認し、2022年12月8日(木)17:30頃に緊急でサービスを停止致しました。
今回の事象でユーザー様のアカウントの乗っ取り、不正アクセス等は確認できておりません。
キャンペーンを作成、公開していたユーザー様のAILEEのサービス内におけるTwitter APIのアクセストークンとアクセストークンシークレット
AILEEのサービス内では、ユーザー様から許可を得た上で、TwitterAPIを使用しユーザー様のTwitterのアカウントからフォロー、いいね、リツイート等のアクションを実行しております。
これらのアクションを実行するためには、TwitterAPIに対して4つのキーを利用し認証する必要があります。
・アクセストークン
・アクセストークンシークレット
・APIキー
・APIシークレットキー
今回、外部から閲覧できた情報はアクセストークンとアクセストークンシークレットの2つになります。
APIキー、APIシークレットキーの情報については、外部から閲覧できる環境ではなかったため、アクセストークンとアクセストークンシークレットの2つの情報では、アカウントの乗っ取りや不正アクセスはできない状況でした。
AILEEのサービス停止後に、以下の対応をいたしました。
・アクセストークン、アクセストークンシークレット以外の重要情報が外部から
閲覧できる環境がないかの確認
・Twitter APIのアプリにおけるトークンの無効化
・APIキー、APIシークレットキーなど重要なキーの再生成
・アクセストークン、アクセスシークレット等重要情報の非表示化
・その他のセキュリティに関する調査
今回利用していたTwitter APIアプリケーションを破棄し、アクセストークン、アクセストークンシークレットを無効化いたしました。そのため、今後このアクセストークン、アクセストークンシークレットを利用して不正アクセス等を行うことはできません。
AILEEのシステムにおいて重要情報の取り扱い、セキュリティに関して再度調査を実施し、今後このようなことがないように再発防止に万全を期してまいります。
2022年12月19日
弊社のサービスAILEE(エイリー)において、2022年12月8日(木)にシステムの問題が確認されたため、サービスを停止しておりました。
この度、システムの問題の詳細を確認し、その問題を解消致しました。
今回の問題における不正アクセス等は今のところ確認できておりません。
今後はこのようなことがないように再発防止に万全を期してまいります。
この度は、ご利用の皆様には、多大なご迷惑とご心配をおかけしましたこと、重ねて 深くお詫び申し上げます。
本件に関するシステム問題の詳細