2022年4月21日

お客様各位

bravesoft株式会社

eventos ブース管理者コンソールからのCSVダウンロードに関わる経緯について

拝啓 平素は格別なるお引き立てを賜り、厚く御礼申し上げます。

この度、弊社bravesoft(以下BS)が運営する「eventos(https://eventos.tokyo/)」のブース機能にて実装されているコンソールからのCSVダウンロード機能にて不具合が発生しました。

本資料にて経緯と事象と再発防止策についての報告を行わせて頂きます。

この度はお客様を始め、関係者の皆様に多大なるご迷惑、ご心配をおかけする事態となりましたことを深くお詫びいたします。

■用語説明

ブース:eventosにおける、企業様がWEBに公開するページの機能名称

コンソール:上記ブースの更新を行うための管理画面

■概要

eventos参加企業コンソール上の「ブース動画」と「ブースアンケート」のCSVダウン

ロード機能において、あるブース管理者(ブースA)が「すべて」を選択してCSVファイル

を生成した場合に、イベントに出展しておられる他社のブース管理者(ブースB)が(24時

間以内に)同じCSVダウンロード機能にて「すべて」を実行すると、先に作成された

CSVファイルがダウンロード可能な状態となっておりました。

■ブースAコンソール

※この時点ではブースAとしては問題のない挙動となります。

上記、処理の後、

ブースBコンソールにて下記操作を行った際に、不具合が具現化致します。

■ブースBコンソール

つまり、一定の条件下におきまして、他社様のブース閲覧結果/ブースアンケート結果の

集計情報が他出展社様からダウンロードできてしまうケースが発生しておりました。

■発生日時

2021年6月30日(水)〜 2022年2月21日(月)

■対応について

対応①:他社のCSVファイルが取得できてしまう条件になっている

「すべて」ボタンを非表示(選択不可)

ブース管理者のマイページのみ、「すべて」のダウンロード項目を非表示にする対応を

実施いたしました(不具合導線の削除)

対応②:本対応

2022年2月21日(月)(月)にリリース済のバージョン2.4ににて、正しいデータ

(ブース管理者の担当情報)のみ取得できるように修正いたしました(システム面の恒久対処)

影響を受けたクライアント数/出展者

  • クライアント(イベント数):6社
  • 総出展者数:20社

影響を受けたエンドユーザ様への影響

以下の情報が往訪されていないブース担当者様が取得できる仕様となっておりました。

  • eventosアカウント名
  • 氏名
  • アカウント登録メールドレス
  • ブース来訪日時

CSV流出件数(人数):334名 (重複あり627件)

■発生経緯

2022年2月16日(水)

16:30  BSへ一部クライアント様より事象の問い合わせがございました。

(※1:出展者管理画面のデータ集計(ブース動画)から「すべて」を選ぶと別の出展者の視聴データが取得できた旨の連絡)

17:00  BSにて同事象(※1)の再現を確認しました。

並行してBS開発側にて調査を開始しました。

18:00  該当ソースから不具合箇所を特定し、BS社内で対応方針を検討いたしました。

同時に、暫定対処として該当導線の削除、根本改修に着手いたしました。

20:00 BS開発側にて暫定対処(上記対応①:「すべて」ボタンを非表示)のリリースを実施しました。

2022年2月17日(木)

17:00 BS開発側にて被害の影響範囲を調査し、以下が判明しました。

・出展社様にて誤って取得されたCSVデータの件数が最大で600件程度であること

※重複有り

2022年2月18日(金)

15:00 BS開発側にて各イベントのどのクライアント様で本事象(※1)が発生していたかを集計しました。

2022年2月21日(月)

22:00 BS開発側にてeventos2.4リリースを実施し 恒久対処(対応②:本対応)完了となりました。

■発生条件

極めて限られた条件下にてのみ発生する事象ではございますが、

以下条件に当てはまるケースにて本事象が発生しております。

①同一イベントにて複数ブースが存在(仮にブースAとBが存在)

②このイベントで「ブース動画」「ブースアンケート」どちらか(または両方)機能を

利用

③ブースA担当者様が「ブース動画」または「ブースアンケート」を利用し、CSVダウンロード

機能を実行

④(③の24時間以内に)ブースB担当者様が同様にCSVダウンロードを選択肢「すべて」を実行

※24時間以降のダウンロードであれば、本事象は発生しません。

■根本原因

CSV生成の処理時にブース管理者でのフィルタリング(ブース管理者とブースの紐づけ)

が正しく実行されておらず、他社のデータも取得した状態でCSVファイルを生成してし

まっていたことで今回の障害が発生いたしました。

具体的には該当ブースとそれに紐づくブース管理者様のアカウントでのデータの紐づけ

が正しくできておらず、全ユーザの情報を取得するような処理になっていたためとなり

ます。

■今後の対応

上記の処理の見直しを行い、ブース管理者が自身に関連するデータのみを取得してCSVファイルを生成できるように変更いたします。こちらは2月21日にリリースを行い、弊社内でも動作確認を行い、事象は解消しております。

■恒久対応(再発防止策)

本事象の対処としては、前項の処理の修正となりますが以下(A) についても実施済みとなります。

(A)水平展開

eventosにおけるデータを取得する処理において、ロールごとに取得されるべきデータが、設計通りとなっていることを確認いたします。

また、それらの調査を実施の上で改めてリスクアセスメントを実施し、再発防止について対策を行います。

その上で、第三者機関と合同で結果をチェックし、問題がないよう確認いたします。(2022年3月9日に実施済みとなります。)

■本件に関するお問い合わせ窓口

bravesoft株式会社

(1)eventosサービスをご利用のクライアント様

E-MAIL:eventos@bravesoft.co.jp

(土日祝日・年末年始を除く10:00~19:00にご返答差し上げます。)

■最後に

この度はeventosサービスをご利用のクライアント様をはじめ、関係者の方々に多大なるご迷惑、ご心配をおかけする事態となりました事を深くお詫び申し上げます。弊社は今回の事態を厳粛に受け止め、対策及びシステムの安全性の更なる強化を行い、再発防止策の実施に全力を尽くして参ります。

ご迷惑をおかけいたしまして誠に申し訳ございませんでした。

深くお詫び申し上げます。

以上