2026-04-12
【重要】セキュリティインシデント発生のお詫び
いつもHostekaをご利用いただきありがとうございます。このたびHostekaにて発生したインシデントについてご説明させていただきます。
影響日時
2026年3月20日 〜 2026年4月6日頃
影響内容と影響範囲
稀に他ユーザーの情報が表示されることがある
※ 発生条件は複雑で、全てのページが対象ではありません。また、必ず起こりうるわけではなく、サーバーの負荷状況やユーザーのアクセスタイミングに依存して発生する比較的稀な状況でした。
- 対象となったもの
- 非公開に設定されている他人のイベント情報が閲覧できうる(ただ、Hostekaは、非公表イベントであってもログインユーザは誰でも閲覧できる仕様となっています。そのため、このページの閲覧ができた状況は、直ちに情報漏洩には該当しないと判断しています)。
- ヘッダーに他人のユーザーアイコン等が表示されうる(ただ、当該ユーザーのアカウントIDが分かれば誰でも閲覧できる情報のみでした)。
- 対象とならなかったもの
- 他のユーザーが作成・参加しているイベント・日程調整の一覧の閲覧はできませんでした。
- 他のユーザーのアクセストークンの閲覧はできませんでした。
- 他のユーザーかイベント・日程調整主催者であり、その主催者しか閲覧できない情報の閲覧はできませんでした。
- 他のユーザーになりすました操作(イベントの編集・参加・アカウント関係の操作)はできる状態ではありませんでした。
このように、他のユーザーの情報が表示されうるページやその情報の特性から、重大な個人情報の漏洩は幸いにも発生しなかったと判断しています。
タイムライン
- 2026/3/20 PM: 原因となるリリースを行った
- 2026/4/6 AM: ユーザー様からの申告によって事態が発生している可能性を把握
- 2026/4/6 AM: 確認のため速やかに全サービスを停止
- 2026/4/8 PM: 原因の特定・修正・リリースを行い、サービスを再開
- 2026/4/12 PM: モニタリング結果が良好であったため、事象の公表
原因
サーバーでの不適切な設定により、他ユーザーの情報と混在する場合があったため。
Hostekaでは、いくつかの複雑な機能の初期実装コストを抑えるため、セッション管理の実装が2種類混在していました。しかし、この混在により開発工程が複雑化しており、約2ヶ月前より1本化を進めるべく、大規模なリファクタリングを行っている最中でした。そんななか、2026/3/20に、セッション管理とは直接関係の無いバグ修正のため、hot fixをリリースする必要がありました。しかしこの修正時、セッション管理のmainブランチでの実装状況とリファクタリングブランチの実装状況を誤認したことにより、hot fix中に不適切な実装を行ってしまいました。その実装により、不適切なキャッシュがサーバー側に作られてしまう状態となりました。通常そのキャッシュは使われないものの、セッション管理が何らかの理由で正常に動かなかった場合に使われてしまうケースがあり、結果他のユーザーの情報が表示されうる状況となりました。事象の発生が確率的であることから、テストで発見することもできず、そのままリリースされてしまいました。
対処・再発防止
本件と直接関係のない大規模なリファクタリングは発覚時点で完了していたため、至急残っていたリグレッションテストを行い、実装の1本化を完了したバージョンを予定より早くリリースしました。このリリースにより、今回問題の発端となったセッション管理方法は採用されなくなり、結果的に根本原因が解消されています。加えて、そもそもサーバーキャッシュが作られることがないような明示的な設定も併せて行いました。また、他の箇所も含めていくつかの観点でチェックを行い、セッション管理に脆弱性がないことを再確認しました。
リファクタリング時のブランチ管理が不適切であったことが最大の反省点であると考えています。個人開発といえどもちゃんとブランチを管理すべきだと思いました。また、間接的な原因ですが、リグレッションテストが十分にコード化されておらずCI/CDパイプラインが完成していないことにより、あまり適切でない実装が長期にわたり本番運用される状態となっておりました。リグレッションテストのコード化の優先度を上げて対応することとします。
おわりに
重大な個人情報の漏洩ではなかったと判断はしましたが、ご心配とご迷惑をおかけしたことを深くお詫びします。再発防止策を確実に遂行したいと思いますので、引き続きよろしくお願いします。ご不明点やご質問がある方は運営者( @[email protected] )までご連絡ください。