IIJmioから通信量などを確認できるアプリ(MyIIJmio)登場もトラブルで利用不可→セキュリティ事故発生

スマホ・タブレット・AV

IIJmioから便利なアプリ、MyIIJmioが新しくできたことを知らせるメールが送られてきました。下記の情報が簡単に確認できるようです。

  • データ残量照会
  • データ残量有効期限確認
  • データ利用量確認
  • データ購入履歴
  • ご請求金額の確認
  • 高速通信ON/OFF切り替え
  • 5Gオプション、データシェアの設定状態の確認
  • 契約内容の確認

リアルタイムで最新の情報が確認できるわけではなく、最大で1時間遅れの情報が表示されるようになっています。原簿のデータから1時間ごとに複製された照会用DBにコピーしているのかもしれません。

アプリの内容から考えると、楽天モバイルに例えるとMy楽天モバイルアプリに相当する機能があるようです。

さっそく、iPhoneにインストールしてログインしようとしたところ、非常に応答が悪いです。画面が進んでも次の画面で選択すると「通信エラー」なるメッセージが出て先に進まなくなってしまいました。

多分、メールで案内をしたところ、ある程度の人がインストールして同時に使ったために負荷が上がってサーバー側の処理が追いつかなくなったのでしょう。明らかに性能試験が足らなかったということなのかもしれません。

何時間か経ってから再度アプリを起動してログインしたところ、今度は「サーバーメンテナンス中」というエラーメッセージが出てログインすらできなくなっていました。

このあと、SQLのチューニングやネックになっている場所の解析を通して、また利用ができる頃になって案内があるのではないかと思います。現時点ではIIJmioの公式サイトにはアプリの不具合に関する周知はありませんでした。

アプリが使えなくても、WEBページでは同様の情報を確認することができるので、当面は困ることはありません。

【2021年7月16日追記】

リリース翌日になってもログインしようとすると、「サーバーメンテナンス中」のエラーメッセージが出てログインができませんでした。復旧が長期間に及んでいるにもかかわらず、2021年7月16日AM10時現在で公式サイトにお知らせを出さないのは問題だと思います。

トップ | インターネットイニシアティブ(IIJ)
株式会社インターネットイニシアティブ(IIJ)のオフィシャルサイト。IIJはクラウドサービスからインターネット接続サービス、セキュリティサービス、アウトソーシングサービス、システムインテグレーションに至るまで、総合的なソリューションサービスを提供しています。

よくよく探してみると、IIJmioの回線メンテナンスなどを告知するページに、メンテナンスの説明が紛れ込んでいました。

IIJmio:メンテナンスのお知らせ
2021年7月15日(木) 18:55 – 2021年7月16日(金) 12:00
IIJmioモバイルサービス ギガプラン専用アプリ(My IIJmio)
専用アプリの全ての機能
システムメンテナンス 停止サービス以外の、IIJmioサービスを利用しての通信に影響はございません

アプリの提供開始はトップページのニュースリリースのほか個別のメール配信で大きく宣伝し、サービス開始後からの長期間のメンテナンスはこっそりとメンテナンスページで告知するのはいかがなものなのでしょうか。

【追記】

残念ながらお昼の12時を過ぎてもサーバーメンテナンス中の表示でログインできませんでした。公式サイトのメンテナンスを告知するページは更新されていませんでした。

【追記】

驚いたことにメンテナンスページの終了時間が13時までに書き換えられていました。

2021年7月15日(木) 18:55 – 2021年7月16日(金) 13:00

しかし、15時過ぎの時点でも「サーバーメンテナンス中」でログインすることができません。

【2021/07/16追記】

重大なセキュリティ事故の発生

IIJmioの公式サイトに深刻なお知らせが掲載されました。

7月15日10時より当社が提供開始した「IIJmioモバイルサービス ギガプラン」専用アプリ「My IIJmio」にて、誤って別のお客様の情報が表示される情報セキュリティ事故が発生したことが判明いたしました。
そのため7月15日18時55分より「My IIJmio」のご利用を停止させていただいております。また、誤って情報が表示されたお客様には、個別にご連絡を差し上げます。関係者の皆様には、多大なるご心配、ご迷惑をおかけしておりますこと、深くお詫び申し上げます。大変申し訳ございません。

単なる性能問題ではなく他人の情報を表示する不具合が発生してしまったことは今後の対応が気になるところです。今回流出した情報は下記の通りと発表されています。

  • 電話番号の一部 (4桁目から7桁目までがマスクされた状態)
  • データ残量
  • データ残量有効期限
  • データ利用量
  • ご請求金額
  • 高速通信ON/OFFの状態
  • 5Gオプション
  • データシェアの設定状態
  • ご契約情報 (mioID、サービスコード、サービス状態、料金プラン、申し込み日、利用開始日)

クレジットカード情報や銀行口座の情報などは含まれていないようですが、流出した情報が悪用されることがないか心配です。

誤って他人に情報が表示された人の数は現時点で最大550名と公表されています。

なお、本リリースはIIJmioのサイトには掲載されていますが、2021/07/16の22時30分現在ではIIJの公式サイトではリリースされていませんでした。

【2021/07/20追記】

すでに個人情報が誤って他人に照射されてしまった被害者に対して連絡を実施したとのことです。アプリでログインを何回も試していましたが、私には連絡がなかったので大丈夫だったということなのでしょう。メモリに残ったゴミやセッションの引き継ぎに関する問題なのだとしたら、どうやって対象者の人を特定できたのかは不思議な感じもします。

Related posts

コメント

タイトルとURLをコピーしました