先日、KiiのCN3サイトの設定に問題がありアプリケーションの内部形式データの一部が外部からアクセス可能な状態にあったことがわかりました。CN3サイトは、無償Trialプランのアプリケーションに使用される中国国内のサイトです。現在ではこの問題は解消し、関係する開発者には直接連絡させていただきましたが、透明性の原則に則りコミュニティでも報告させていただきます。
発生した事象
CN3サイトのサーバで使用している内部形式のキャッシュデータが外部からアクセス可能な状態にありました。現時点において、これらのデータが悪意を持った第三者にアクセスされた形跡は確認しておりません。
CN3サイトに存在するすべてのアプリケーションの、最大でのべ160万ユーザ(アクティブでないユーザ含む)の一部のデータが潜在的にアクセスされた可能性があります。CN3サイトは中国国内にあり、中国国内をターゲットにしたアプリが多いため、影響は中国国内のユーザがほとんどだと推測されます。
問題の背景
多くのKii CloudサイトはAWS上に運用されていますが、CN3サイトはAliyun Cloud上にあります。このサイトは2014年にAliyun Cloudの機能拡充中に構築されたために、他サイトとは異なる独特のセキュリティ要件を持っています。弊社が先日実施した変更で、この差異を十分に意図していない個所があり、他のサイトでは発生し得ない問題がCN3サイトでのみ発生してしまいました。
現在、専用サイトを含めてAliyunに複数のサイトが存在しますが、CN3以外のサイトでは、同様の問題は発生しません。また、AWSのサイトでは同様の問題は発生しません。
対応
現在この問題は解消され、関係するお客様には直接連絡を行っています。Kii CloudのDevopsチームは同様の問題を防止するための包括的な対策を実装中です。
Kiiでは今回の問題を重大に受け止め、再発防止に努めていきます。ご迷惑をおかけしたすべての方にお詫びを申し上げます。