出前館 2020.09.04

『出前館』サービスにおける脆弱性対応とセキュリティ強化について

 この度『出前館』(本社:大阪府大阪市、代表取締役社長:藤井 英雄、以下当社)は、LINEグループとの資本業務提携および新体制に関するお知らせに記載の通り、当社ではLINEグループとの業務資本提携による新体制の元でシステム強化に進めており、これに伴い『出前館』サービスのセキュリティレベルの向上につきましてもLINEと共同で取り組んでおります。 

 

 今回はその過程において発見された脆弱性(セキュリティに関する不具合)に対して、下記の通り対応を行ったことをお知らせいたします。 

 

 2020年8月19日(水)、内部での調査により『出前館』アプリ内での「Amazonアカウントでログイン」機能に不正ログインに繋がりうる脆弱性が発見されたため、2020年8月20日(木)より『出前館』アプリからの「Amazonアカウントでログイン」機能を停止しておりました。また、2020年8月21日(金)よりLINE株式会社の協力の下、『出前館』サービス全体の再検査を実施いたしました。 

本記事記載の不具合はすべて内部での発見によるもので、現在のところ、具体的な悪用の痕跡は発見されておりません。

 

 

発見された脆弱性と対応について

 不正ログインに繋がりうる脆弱性につきまして、認証方式の変更を実施しております。当社による調査において、具体的に脆弱性が悪用された痕跡は確認されておりませんが、予防的な措置として脆弱性修正より以前に生成された古いログインセッションの破棄を実施いたします。 古いログインセッションの破棄は本記事掲載後、段階的に実施予定となります。これに伴い、『出前館』アプリでの再ログインが必要となります。お客さまにはご不便、ご迷惑をおかけいたしますが、何卒ご了承ください。 

 

本記事掲載時点で修正対応及び調査が完了している内容についてご報告させていただきます。脆弱性への対応に関連して、追加でお知らせすべき内容が発生した場合には、本記事の更新にてお知らせいたします。

 

1. 『出前館』アプリにおける「Amazonアカウントでログイン」機能の脆弱性


概要

  • 「Amazonアカウントでログイン」で利用している登録メールアドレスを把握している場合に、そのユーザーになりすまして不正にログインを行える可能性がありました。
  • ・当社でのログ調査の結果、現在のところ、具体的な悪用の証拠は見つかっておりません。
  • ・本脆弱性は『出前館』サービスの脆弱性となり、Amazonサービスの脆弱性ではございません。


影響期間

  • ・2016年11月15日(火) ~2020年8月20日(木)(メンテナンスによる停止)、機能再開2020年8月26日(水)


対応について

  • ・2020年8月19日(水)に内部での調査により発覚、緊急措置として2020年8月20日(木)に同機能を停止し、修正とログ調査を実施の上、2020年8月26日(水)に再開いたしました。

 

2. 『出前館』アプリにおけるパスワードリセットフローの脆弱性


概要

  • ・出前館ID(登録メールアドレス)を把握している場合に、メールアドレスの所有者確認を迂回して、任意のパスワードに再設定できる可能性がありました。
  • ・当社でのログ調査の結果、現在のところ、具体的な悪用の証拠は見つかっておりません。


対応について

  • ・2020年8月22日(土)に内部調査により発覚、2020年8月24日(月)に問題のあるパスワードリセットフローを廃止し、修正を完了いたしました。


影響期間

  • ・2019年3月28日(木)~ 2020年8月24日(月)

 

 悪用された場合には、利用者に身に覚えのないタイミングでのパスワード再発行依頼の通知及び、パスワードの変更が発生いたします。万が一、本不具合の影響と思われる場合には、本記事に記載の窓口よりお問い合わせください。

 

3.レビューコメント内に不必要な情報が含まれていた脆弱性


概要

  • ・店舗に対するレビューコメントを表示する際に利用していたデータ内に、本来ならば不必要である配送先氏名の情報が含まれておりました。


影響期間

  • ・2011年6月28日(火)レビュー機能リリース
  • ・『出前館』Webサイト上での影響期間  2020年5月18日(月)~2020年8月26日(水)


対応について

  • ・2020年8月21日(金)に内部調査により発覚、同日、氏名を削除、2020年8月26日(水)追加で不必要な情報の削除を実施。
  • ・検索エンジン等には、お客さまの配送先氏名の情報がキャッシュとして残っていないことを確認しております。

 

当社からのお願い

 「レビューコメント内に不必要な情報が含まれていた脆弱性」について、店舗レビューの分析などの目的で脆弱性修正より以前の掲載データの収集、保存をしている方がおられましたら、破棄していただきますようお願い申し上げます。当サイトを通じて入手した情報につきましては、利用規約上、私的使用以外の目的での利用を禁止しております。

当社サービスに関しまして、セキュリティやプライバシー上の問題を発見したり、修正に関して不備を発見された場合は、本記事に記載の窓口よりお問い合わせください。

 

セキュリティに関する体制強化について

 当社は、この度発見された一連の不具合を深く受け止め、当社サービスに関しまして徹底したセキュリティレビューを実施してまいります。 現在、不具合の修正やセキュリティ改善の取り組みを継続して行っております。併せて、セキュリティ、プライバシーに関連する不具合に対する専用の問い合わせ窓口を設置いたします。

 

お問い合わせ窓口

 

更新履歴

        • ・2020年9月4日(金) 公開




         この度は、お客さま、店舗さま、関係者の皆さまには、ご心配とご不安、ご不便をおかけいたしましたことを深くお詫びいたします。今後とも『出前館』をよろしくお願いいたします。



        以上
         
         
        ※AmazonはAmazon.com, Inc.またはその関連会社の商標です。

    お知らせ一覧