このたびベータ版としてウノウラボで公開しておりましたTilePlexにおきまして、外部の方からの指摘によりユーザー登録されましたユーザー様のメールアドレスなどが取得できる状態になっていましたことをご報告し、深く謝罪いたします。大変申し訳ありませんでした。

▼経緯
TilePlexではベータ版公開当時よりウェブAPIを公開しておりますが、API説明ページに説明していないユーザー様のデータベースがウェブAPIとして公開された状態になっており、特定URLにて誰でも閲覧できるようになっておりました。

その事実について、外部の方よりメールにてご指摘がありましたので、至急調査をしましたところ上記が判明しましたためサービスの即時停止を実施いたしました。

▼原因
TilePlexが使用しているフレームワークではAPIが簡易に公開できるようになっており、それを利用して、各種APIを公開しておりました。その際に、あやまってユーザー情報のAPIまでもが自動で公開される状態になっておりました。これはAPI説明ページでは説明がありませんでしたが、推測しうるURLにて閲覧できる状態になっておりました。

▼影響
ユーザー情報APIへのアクセスログなどを調査したところ以下のことが明らかになりました。

期間：6月8日水曜19:06（事前の公開も含む）〜7月9日月曜22時51分まで
該当APIへの外部からのアクセス：4件（すべて7月9日月曜）
アクセスのあったユーザー：2名（全ユーザー数：116名）
公開状態にあった情報：ユーザー情報
ユーザーDBの内容：登録日時、セッションID、メールアドレス、ユーザー名、暗号化されたパスワード、更新日時

2名のユーザー様情報以外へのアクセスは存在いたしませんでした。
※該当ユーザー様にはすでにご連絡を差し上げております。

▼対応と今後について

●漏洩の可能性のあったユーザー様全員へ本件をご連絡をいたしました。
●TilePlexについて安全性が完全に確認できるまでサービスを停止させていただきます。
●IPAなどへ脆弱性の届けをすべく準備中です。

以後はこのようなことがないように、十分注意するとともに公開するサービスについては必ずセキュリティ・テストの実施を義務づけるなど社内体制の強化をしてまいります。

このたびは不注意により大変なご心配ご迷惑をおかけし申し訳ありません。気を引き締め再発防止に努めてまいります。重ね重ね大変申し訳ありませんでした。