2026年4月23日、双日テックイノベーション株式会社は、同社が提供する法人向け弁当注文サービス「おべんとね!っと」において、アクセス制御の実装が不適切であったため、ユーザ管理者アカウントから他組織の利用者のメールアドレス(ブロックアドレス)および会員IDの一部が閲覧可能な状態にあったと公表しました。
問題が発生したのは2023年10月31日で、2026年4月3日にお客様からの問い合わせで発覚するまで、約2年5か月間にわたって当該状態が継続していました。
【この記事のサマリー】
- 双日テックイノベーション株式会社の「おべんとね!っと」が利用するECプラットフォーム「EBISUMART」(インターファクトリー社提供)の定期アップデートで追加された「ブロックアドレス検索/一覧」機能において、アクセス制御の実装が不適切でした。
- 閲覧可能な状態にあった情報は会員ID(ログイン時のユーザーIDとは異なる)22,914件およびブロックアドレス(配信不達メールアドレス)12,883件です。
- 発生期間は2023年10月31日22時16分頃~2026年4月3日18時51分頃の約2年5か月間。2026年4月3日にお客様からの問い合わせで発覚し、当日中に修正が完了しています。
- 実際に当該機能を使用したユーザ管理者アカウントは総数約4,400アカウント中32アカウントにとどまります。データのダウンロードは一度も行われておらず、現時点で情報の悪用・二次被害は確認されていません。
- 本件は外部からの不正アクセスやサイバー攻撃ではなく、委託先による機能追加時のアクセス制御設計の不備が原因です。
目次
発生経緯—自動アップデートで追加された機能のアクセス制御が不適切
| 日時 | 対応内容 |
|---|---|
| 2023年10月31日 22:16 | EBISUMARTの定期アップデートで「ブロックアドレス検索/一覧」機能がリリース。アクセス制御の実装不備により本件事象が発生 |
| 2026年4月3日 14:59 | お客様からの問い合わせで事象を受信 |
| 同日 17:30頃 | 双日テックイノベーションが事象を確認・動作検証 |
| 同日 17:45頃 | インターファクトリーへ修正対応を要請 |
| 同日 18:51頃 | インターファクトリーより修正完了の報告を受領(ユーザ管理者アカウントからブロックアドレス検索/一覧機能へのアクセスを遮断) |
「おべんとね!っと」が利用するECプラットフォーム「EBISUMART」(インターファクトリー株式会社提供)では週1回のペースで自動的に定期アップデートが実施されています。2023年10月31日の定期アップデートで「ブロックアドレス検索/一覧」機能が追加された際、表示させるべきブロックアドレスの範囲についてアクセス制御の実装が不適切であり、自組織以外のブロックアドレスも閲覧できる状態となっていました。
閲覧可能な状態にあった情報
| 情報の種類 | 件数 | 備考 |
|---|---|---|
| 会員ID | 22,914件 | ログイン時に必要な利用者IDとは異なる |
| ブロックアドレス(メールアドレス) | 12,883件 | 配信不達となったメールアドレス |
ブロックアドレスとは、双日テックイノベーションが送信するメールが届かなかったメールアドレスを指します。メールアドレスそのものが閲覧可能な状態にあったものの、配信不達のアドレスであることから、同社は深刻な被害が生じる可能性は極めて低いと評価しています。
被害状況の確認——実際のアクセスは限定的
同社の調査では以下が判明しています。当該機能を利用したユーザ管理者アカウントは約4,400アカウント中32アカウントにとどまります。ブロックアドレス検索結果のダウンロード機能は一度も使用されておらず、現時点で情報の悪用や二次被害に関する報告も受けていないとしています。
情シス・セキュリティ担当者へのポイント
本件が示す最も重要な教訓は「自社が直接実装していないSaaS・プラットフォームの機能追加でも、アクセス制御の適切性を確認する義務は利用側にある」という点です。
EBISUMARTは週1回の自動アップデートで機能を追加する仕組みを持っていましたが、新機能追加のたびに権限制御の設計が正しく反映されているかを利用側が確認するプロセスがなかったために、約2年5か月間という長期にわたって見落とされました。
アクセス制御不備(OWASP Top 10: A01:2021 Broken Access Control)は、技術的な脆弱性の中でも特に発見が遅れやすいカテゴリです。自社開発のシステムだけでなく、利用するSaaS・ECプラットフォームが追加した機能についても、リリース前の権限確認テストを利用側が実施するプロセスを組み込むことが再発防止の鍵となります。
双日テックイノベーションも再発防止策として、インターファクトリーによる新規画面作成時・個人情報を扱う機能の開発時に権限制御の設計を標準仕様書のチェック項目に追加すること、および機能リリース前に自社が事前確認・承認するプロセスを徹底することを挙げています。
よくある質問(FAQ)
Q. 「ブロックアドレス」とは何ですか? 双日テックイノベーションが送信するメールが届かなかったメールアドレスのことです。メール送信時にバウンス(返送)されたアドレスがシステムに登録されており、今回はこの情報が閲覧可能な状態にありました。
Q. 自分のメールアドレスが漏洩したか確認できますか? 現時点では個別の確認手段は案内されていませんが、問い合わせ窓口([email protected]、平日9:00〜17:30)に問い合わせることができます。
Q. なぜ約2年5か月間も発見されなかったのですか? EBISUMARTの自動アップデートで追加された機能についてアクセス制御の確認を行うプロセスが整備されておらず、お客様からの問い合わせがあるまで気づかれなかったとされています。
Q. 今後同様の問題は防げますか? インターファクトリーの標準仕様書チェック項目に権限制御の確認を追加すること、および個人情報を扱う機能のリリース前に双日テックイノベーション自身が事前確認・承認するプロセスを徹底することで再発防止を図るとしています。
参考情報
関連記事
市立奈良病院、4月24日から救急と通常診療を再開-サイバー攻撃の個人情報漏洩やデータ破損なし確認
政府、牧野フライス製作所へのMBKパートナーズ買収を外為法で中止勧告—重要技術流出防止と経済安全保障の最前線【2026年最新】
産業廃棄物処理業のシンシアがサイバー攻撃によるシステム障害の第3報を公表-新環境で再構築し2月9日から順次業務再開、調査は継続
Bitwarden CLIの公式npmがマルウェア化-開発者の認証情報を標的にするサイバー攻撃【2026年4月】
MoneyCharger運営事務局、公式 LINEへの不正アクセス、誤配信と個人情報含むファイル送信を確認
イエローハット 子会社、「2りんかんアプリ」の会員の個人情報が漏洩の恐れ
消費者金融のキャネット、不正アクセスによるサイバー攻撃で9,987名分の個人情報漏洩の恐れ-二次被害も確認
CAMPFIRE、GitHubへの不正アクセスによるサイバー攻撃で最大22万5,846件の個人情報漏洩の恐れ
北陸放送、メール誤送信で個人情報漏洩
