Stripe決済連携機能における障害について、概要と調査経過のご報告(2023/04/17 改修済)- 2023/04/24
平素よりイーべ!をご利用いただき、誠にありがとうございます。
2023/04/17、イーべ!利用者様を介し、Stripe社様からのご指摘をいただき、今回ご報告する障害が明らかになりました。
該当する利用者様のご協力により、対策を実施しましたことをここにご報告いたします。
該当の利用者様、42ユーザーへの個別連絡・状況確認のため、発覚からご報告までお時間をいただきましたことを先にお詫び申し上げます。
概要
Stripe決済連携を設定したイーべ!イベントフォームで申込者から決済があった際にサーバー側だけで使用される「Stripeシークレットキー」が、Web開発の知識を持つ者が、開発ツールなどを使用した場合、閲覧可能な状態であった。
※開発ツールなどを使わない通常のご利用状態での閲覧はできません。
閲覧した第三者がシークレットキーだと認識できた場合、シークレットキーを使うことでStripeのAPI実行が可能なため、決済者の「氏名」「メールアドレス」が閲覧される可能性があった。
※クレジットカード情報については、すべての情報が表示されない状態(クレジットカードブランド、下4桁の番号、有効期限のみ表示)で処理されるため、カードの不正利用の恐れはありません。
現時点でAPI不正実行の報告はなく、利用者様のご協力の上、APIリクエストログの調査が完了した利用者様については、すべて問題がないことを確認。
影響範囲
42ユーザー(以下の条件すべてに該当)
対象ユーザーには、対応策の実施、調査へのご協力を個別に連絡済み。順次、安全確認を進行中。
- 2022/12/27〜2023/4/17の間に、Stripe決済連携機能を設定したイーべ!イベントフォームを運用。
- イーべ!を構築するシステムを新方式に移行済みのユーザー
※新方式への移行は、イーベ!システム側で順次、ユーザー単位で実施しており、ユーザー側での設定はありません。
経緯
2022/12/2714:30 | イーべ!「イベントページ」表示の新方式実装時に不具合混入。 ※表示方式変更は弊社側で現在進行中のため、変更タイミングはユーザーによって異なります。 |
2023/4/1718:57 | イーべ!ユーザーがStripe社の審査を受けた際にイーべ!フォームへの指摘があり、特定条件下でStripeシークレットキーが閲覧できる可能性があることが発覚。 |
2023/4/1719:31 | 不具合箇所を修正 |
2023/4/18 | 対象ユーザーを割り出し、シークレットキーの刷新とともに、期間中に不正なAPIの実行が行われていないか、調査へのご協力を依頼。 |
2023/04/24 | 対象の42ユーザーの半数を超える皆様にご協力いただき、API不正実行がなかったことを確認。引き続き調査継続中。 |
原因
「イベントページ」表示の新方式実装時、Stripe決済する際の3Dセキュアの対応処理にて、決済セッションを処理するための別のシークレットキーとサーバー側で処理するためのシークレットキーを見誤り、決済処理の中でクライアント側でも認識可能な状態で実装していた。
対策
- クライアント側の決済処理中、サーバー側のシークレットキーの埋め込みを削除(2023/04/17 実施済)
再発防止策
- 第三者機関によるイーベ!への脆弱性診断を実施
- 開発者全員に対して、セキュアコーディング教育を実施
この度はご迷惑をおかけしましたことを心からお詫び申し上げます。今後は同様のことが起こらぬよう、尽力してまいります。
また、本件の調査へご協力いただきました皆様、誠にありがとうございます。
今後とも何卒よろしくお願い申し上げます。
【 イーべ!サポートセンター 】
>> お問い合せフォーム
営業時間:平日(祝日を除く) 10:00~17:00