セキュリティインシデントに関する重要なお知らせとお詫び

Cube Team代表のtahです。2023年12月16日から17日にかけて、当社のサービスに対して発生したサイバー攻撃について、ご報告とお詫びを申し上げます。

インシデントの概要

2023年12月16日0時頃、Cubeサポートサーバーにて重大な脆弱性に関する報告を受けました。この脆弱性は/mathコマンドにて、コードを実行することができるという脆弱性に起因するもので、その後複数のサービスに対する攻撃へと発展しました。

影響範囲と対応状況

影響を受けたシステムと対策状況

1. Bot関連

   • Botトークン：即時無効化済み
   • ソースコード：セキュリティ強化版への更新完了

2. API関連

   • OpenAI APIキー：無効化済み
   • DeepL APIキー：無効化済み

3. インフラ関連

   • ホスティングサーバーアクセス情報：完全に更新済み

影響のなかったデータ

• ユーザーの個人情報
• 各導入サーバーの設定データ

再発防止策

1. セキュリティ体制の強化

   • 定期的なセキュリティ監査の実施
   • 24時間システム監視体制の確立
   • 開発・デプロイプロセスの厳格化

2. インシデント対応の改善

   • セキュリティインシデント対応手順の整備
   • 従業員向けセキュリティ教育の強化

ユーザーの皆様へのお願い

• 不審な動作を発見された場合は、サポートサーバーの #バグ報告 チャンネルまでご連絡ください
• セキュリティに関する重要な更新情報は、サポートサーバーにて随時お知らせいたします

BAN 措置の実施について

セキュリティ対策の一環として、一部のアカウントに対して予防的なBAN 措置を実施いたしました。

措置の見直しをご希望される場合は、異議申立フォームよりご連絡ください。

また、本件についてご報告いただきましたお客様には、心より感謝申し上げます。

ご報告いただきましたお客様の中に、BAN 措置を受けてしまった方がいらっしゃいましたら、お手数ですが上記フォームよりご連絡いただけますと幸いです。

すでに本件の攻撃元はユーザー単位で特定済みであり、該当ユーザーに関係しない方がBAN 措置を受けてしまっていた場合は、速やかに解除いたします。

おわりに

この度のインシデントにより、お客様にご心配とご迷惑をおかけしましたことを、心より深くお詫び申し上げます。

今後はより一層のセキュリティ強化に努め、安全で信頼されるサービスの提供に全力を尽くしてまいります。