【重要なお知らせ】formrunの管理画面にて保存されている「データファイル」をプレビュー表示した際のURLのお取り扱いにつきまして

formLab編集部
formrun_logo お知らせ

formrunの管理画面にて保存されている「データファイル」をプレビューで表示した際のURLのお取り扱いにつきまして、ご案内があります。

これまでエンドユーザーからファイルアップロード機能を活用してフォーム送信された「データファイル」をプレビューにて表示した際に生成されるリダイレクトURLが、2019年11月15日までの期間におきまして、formrunへのログインを行っていないユーザーにも閲覧可能な状態となっていることがわかりました。

なお、2019年11月15日に管理画面内の「データファイル」のお取り扱いに関するアップデートを行い、現在はプレビューにて表示された画像等のデータファイル閲覧を試みたとしても認証URLからリダイレクトしないものとなったことから、formrunにログインしていないIPアドレスからのアクセスがあったとしても、現在はリダイレクトURLが表示されない仕様となっております。

お客様ならびに関係者の皆様に多大なるご心配とご迷惑をおかけしましたこと、深くお詫び申し上げます。

 

■今回の対象箇所
今回の対象箇所は、formrunの管理画面のボード画面内に存在する「カード」を開いた際に閲覧可能な「データファイル」となります。

カード内にて表示されている「データファイル」のURL自体は認証されているため、該当の「カード」にアクセス可能なユーザーからのみ閲覧可能な仕様となっておりましたが、一度カードから「データファイル」を開いた際に表示されるリダイレクトURL自体は、formrunにログインしていないユーザーからも閲覧可能な仕様となっていました。

ただし、リダイレクトURL自体は一度プレビュー表示を行ったユーザーだけが生成することができ、かつ、リダイレクトURL自体も長く、かつ複数でランダムに生成される文字列ではございました。

【実際に生成されていたリダイレクトURLの例】
※現在は別のURLに切り替わっております
https://form.run/attachments/(アルファベット数字が混在した40文字)/store/(アルファベット数字が混在した60文字)/image.png

pic_before pic_after

 

■経緯と対応 ※2019年11月16日現在
2019年11月14日17時50分に、formrunをご利用中のお客様から、管理画面内に保存されている画像等の「データファイル」のお取り扱いが上記の状況となっている可能性についてお問い合わせをいただきました。

その後に調査を行った結果、「データファイル」をプレビューにて表示した際に生成されるリダイレクトURLがformrunにログイン可能なユーザー以外にも閲覧可能な状態であったことがわかりました。

こちらの対応としては、2019年11月15日(金)の午前に管理画面内の「データファイル」のお取り扱いに関するアップデートを行い、プレビューにて表示された認証URLをformrunへのログインを行っていないユーザーが閲覧を試みたとしても、プレビューが表示されない仕様へと変更されました。

また、今回のご報告をいただきましたユーザーが所属するチームアカウントにおいて、管理画面内に保存されていた「データファイル」を対象としたリダイレクトURLのアクセスログの調査を行いましたところ、ご報告をいただきましたユーザーがご利用しているIPアドレスと、弊社が調査にて経由したIPアドレス以外からのアクセスの確認は取れませんでした。(正確には2019年11月6日〜11月15日までの期間内にformrunの管理画面に保存されていた「データファイル」を対象に調査を行い、formrunがリリースされてから現在に至るまでのログを調査した形となります)

そのため、今回の仕様変更前における「データファイル」がformrunにログインしていない不特定多数の人から閲覧されていた可能性は極めて低いとも考えられますが、仕様としてはステークホルダー以外の人も閲覧が可能であったことの重要性を鑑み、今回のお知らせをリリースする運びとなりました。

2019年11月16日現在、弊社従業員である個人情報保護管理者が、個人情報保護委員会へのご報告準備を進めている段階でございます。

 

■今後の対策
原因等に関しては引き続き調査を行い、詳細が判明次第、随時お知らせを行う予定です。

弊社では、このたびのformrunにログインしていないお客様にも閲覧可能となっていた事態を厳粛に受け止め、セキュリティ管理体制の構築やセキュリティに関する従業員教育の徹底など、再発防止の対策を速やかに講じてまいります。

皆様にはご心配とご迷惑をおかけしますことを、あらためてお詫び申し上げます。

また、本件に関するお問い合わせはこちらからいただけますと幸いです。