当社がサービスを提供する自治体専用ノーコード電子申請システム「 LoGoフォーム」 において、2023年7月7日(金) 10:20頃、一部のZIPファイル内に別申請フォームで添付されたファイルが混入していることが判明しましたのでお知らせいたします。
本サービスをご利用の自治体の皆様には、ご迷惑をおかけしまして誠に申し訳ございません。
1.事象
LoGoフォームで作成した申請フォームを利用し、申請者が申請フォームにZIP形式のファイルを添付した申請を行った際に、LoGoフォームでは添付されたファイルに対して悪意のあるプログラム等を除去する無害化処理を行っております。
本事象では、この添付されたZIPファイルの無害化処理の過程で他の申請で添付されたZIPファイルに混入してしまう場合があることを確認いたしました。
混入のあったZIPファイルを受領した1自治体様の自治体専用の閉域的なネットワーク(総合行政ネットワークLGWAN)内において、LoGoフォーム管理画面へのアクセス権限を持つ自治体担当者様のみが、混入したZIPファイルを閲覧可能であったという事象となります。
2.発生の原因
LoGoフォームの「ファイル無害化」機能におけるZIPファイルの処理プログラムに不具合があり、ファイル処理の過程で、特定の条件が重なった場合に、別の申請のZIPファイルと同一のフォルダで処理されることによってファイルの混入が発生しました。
3.影響範囲
本障害の影響範囲を特定するため、2021年2月のLoGoフォーム無害化機能のサービス開始後から、添付されたZIPファイル全件を調査。ZIP内に別ファイルが混入したファイル数および対象自治体数は、37のZIPファイル、18団体です。
該当のファイル内には、一部個人情報が含まれており、調査の結果、確認された個人情報の漏えい件数は54件です。
なお、該当のZIPファイル内のファイルに含まれていた個人情報につきましては、自治体内の閉域的なネットワーク内で発生したものであり、インターネット等の外部への流出はございません。
4.再発防止策について
本件の原因となった事象を特定し、プログラム修正を行っており、現時点においては、すべての無害化されたZIPファイルにおいて、正しい回答データとなっていることを確認し、今後も本事象は発生しないことを確認しております。
今回の事態を厳粛に受け止め、今後この様なことがないようサービス品質の向上を図るとともに、安定運用に向け改善に取り組んでまいります。
ご関係の皆様に、多大なるご迷惑をおかけしている点について、重ねてお詫び申し上げます。