2024.10.16まなび
リクルートのオンライン学習サービス『スタディサプリ 小学・中学講座』2024年度グッドデザイン賞受賞
(c) Recruit Co., Ltd.
まなび
株式会社リクルート
2022年10月27日に対応を完了いたしました。(2022年11月2日追記)
株式会社リクルート(本社:東京都千代田区、代表取締役社長:北村 吉弘、以下リクルート)が提供する、個人向けオンライン学習サービス『スタディサプリ 中学講座』(以下、中学講座)において、当社のシステム不備に伴い、一部学習者様が他学習者様のアカウントにログインできてしまう事象が発生していたことが判明いたしました。尚、誤ってログインが行われた際に表示される情報に、氏名やメールアドレスといった個人を特定できる情報やクレジットカード情報は含まれておりません。
大切な情報をお預かりしているにも関わらず、このような事態に至り、深くお詫びを申し上げます。経緯・対応について以下の通りお知らせいたします。
1. 経緯
2022年8月10日(水)に学習者の保護者様からのお問い合わせにより、中学講座において、一部『スタディサプリ』の他学習者様としてログインできてしまう状態となっていること(事象①)が判明しました。原因の究明を行い、2022年8月22日(月)に原因を特定し、事象の解消を行うとともに対象範囲の調査を行いました。調査を行う中で、2022年8月29日(月)に、ひとつの端末で複数の学習者様が利用されていた場合、特定のログアウト操作を行わないと同端末利用の他学習者様がログインできてしまう事象(事象②)が起きていることが判明しました。事象②の原因は特定しておりますが、解消までに時間を要するため、暫定対応と学習者様への注意喚起を実施いたします。事象②の解消目途は、2022年10月末頃となる見込みです。→2022年10月27日に事象②も解消しております。(2022年11月2日追記)
▼時系列
2022年8月10日(水) 学習者の保護者様からの問い合わせにより、事実確認を開始
2022年8月22日(月) 事象①の原因を特定・事象の解消、対象範囲の調査を開始
2022年8月29日(月) 調査を進める中で、事象②が判明
2022年8月31日(水) 事象②の暫定対応を実施
2022年9月 7 日(水) 当プレスリリース、スタディサプリサービスサイト・Webブラウザ版、
メールにて学習者様への注意喚起を開始
2022年10月27日(木) 事象②の事象解消(2022年11月2日追記)
2. 対象サービス
『スタディサプリ 中学講座』
3. 事象・原因
事象①、②ともに、Webブラウザ版のみで発生しており、スマートフォン・タブレット用のアプリでは発生しておりません。
『スタディサプリ』には『スタディサプリ 小学/中学/高校・大学受験講座』(以下、小中高講座)と中学講座の2つのアプリケーションがあり、それぞれにログインする仕組みです。
■事象①
小中高講座にログイン中、または、一定期間中学講座にログインのなかった学習者様が中学講座のログインが必要となる一部ページにアクセスした場合、他学習者様としてログインしてしまう不具合が発生しました。ログイン時に必要となるアクセストークンの割り当てミスによるもので、結果、他学習者様のアカウントで操作が可能な状態でした。
■事象②
中学講座の学習者様が小中高講座でログアウトまたはパスワードリセットを行っても、アクセストークン削除ミスにより中学講座のログアウトがされない不具合が発生しました。同一端末で、不具合発生後に他学習者様が中学講座を利用された際に、その前に利用されていた学習者様のアカウントで操作が可能な状態でした。
4. 本事象により発生した影響(事象①、②とも共通)
【他学習者様からログインされた方 対象:中学講座の学習者様】
・ 学校情報や教科書情報など以下(6. 閲覧・編集された可能性のある情報)に記載の項目が他学習者様に閲覧・編集されてしまう
・ 講座情報やホーム画面、学習履歴メールなどで実態のない学習履歴が表示される
・ プロフィール情報や学習履歴が他学習者様によって変更され、ご自身が登録した情報と異なる教科書や学年の講座がミッション※に表示される
※ミッション…学習者様の学校進度や学習履歴に応じて学習すべき内容を提案する機能
【他学習者様のアカウントでログインしてしまった方 対象:小中高講座、中学講座の学習者様】
・ 他学習者様の中学講座アカウント内でプロフィール情報の修正や学習を進めてしまった場合、その修正内容や学習履歴がご自身のアカウントに反映されない
5. 本事象の対象となる可能性がある学習者様
■事象① 対象期間:2022年1月31日(月)~8月22日(月)
【他学習者様からログインされた方】
1,754人(退会者除く)
【他学習者様のアカウントでログインしてしまった方】
1,211人(退会者除く)
■事象②
【他学習者様からログインされた方】・【他学習者様のアカウントでログインしてしまった方】
本事象の対象であることを確認するためのデータが完全には残っていないため、正確な対象者の特定をすることができません。
※事象①、②ともに退会者は対象者を確認するために必要なデータが削除されているため、特定をすることができません。
6. 閲覧・編集された可能性のある情報(事象①、②とも共通)
▼他学習者様によって、直接変更が加えられた可能性がある項目
<学習ページのプロフィール画面>
・在籍する学校情報
└在籍する中学校がある都道府県
└在籍する中学校がある市区町村
└在籍する中学校名
・使用している教科書情報
・ミッションの教科設定
<設定画面>
・効果音を鳴らすの設定
<定期テスト>
・定期テストの日付
▼他学習者様のサービス利用によって変更されてしまった可能性がある項目
・学習履歴(ミッション進捗も含む)
▼他学習者様に閲覧のみされてしまった可能性がある項目
・入会コース
・学年
7. 対応状況
【事象解消について】
■事象①
発生原因となったシステム不備については修正いたしました。再発しないことを確認し、2022年8月22日(月)時点で解消しております。
■事象②
恒久対応は、10月末頃を予定しています。その間の暫定対応として、定期的にアクセストークンの不一致を検知しログアウトする仕様を2022年8月31日(水)に実装しております。また、2022年9月7日(水)より、スタディサプリ内で中学講座ログアウト時の注意喚起のお知らせを開始しております。引き続き、事象②の解消に向けて対応を進めてまいります。
【対象者への連絡について】
他学習者様からログインされたことが特定できた学習者様には、事務局より、スタディサプリ内の個別メッセージとマイページのサポートWebに登録されているメールアドレスにご連絡いたします。それ以外の学習者様には、当プレスリリースおよびスタディサプリ内でのお知らせをもってご案内とお詫び申し上げます。
8. 再発防止策
改めて開発の検証過程におけるサービス内関係者での確認の徹底と、検証パターンの拡充を進め再発防止に努めてまいります。
9. 本件に関する学習者様・保護者様のお問い合わせ先
本件についてご不明点などございましたら、「コード(S-000176)」をご記載の上、以下の問い合わせフォームにてお問い合わせください。
▼スタディサプリ お問い合わせフォーム
https://studysapuri.jp/info/inquiry/customer/
本件の詳細をこちらより御覧ください
関連するプレスリリース