更新情報

2022/04/28：調査報告を追記しました

インシデント概要

2022/04/16 13時頃、dfplus.ioが利用しているマルチクラウドアプリケーションプラットフォーム「Heroku」（Salesforce提供）において、セキュリティインシデントが報告されました。

• Heroku Security Notification
• Security alert: Attack campaign involving stolen OAuth user tokens issued to two third-party integrators

現時点では、dfplus.ioへの影響や機密情報漏洩の恐れはありませんが、Github上にある一部のソースコードへ不正アクセスの可能性があり、引き続き調査を進めております。

調査の結果は改めて報告いたします。何卒よろしくお願いいたします。

【以下：2022/04/28追記】

具体的なリスクといたしましては、Herokuに連携しているdfplus.ioのシステムに関する
ソースコード（GitHubで管理）が外部に不正に流出した可能性があった点となります。

調査報告（2022/04/28追記）

結論、ユーザー様への影響はございませんのでご安心くださいませ。具体的な調査内容や判断の理由は以下の通りでございます。

• dfplus io 関連のソースコードには一切の秘密情報は含まれておりませんでした。
• ソースコード漏洩があった場合でも、脆弱性を解析されて攻撃を受けるなどのリスクも低いと判断しております。
• GitHubがソースコードが漏洩した顧客へ通知を行っておりますが、dfplus io では通知を受け取っておりません。

以上となります。

今後も安心してご利用いただけるサービス運営に努めてまいります。

この度はご不便ご迷惑をおかけし、大変申し訳ございませんでした。引き続き何卒よろしくお願いいたします。